Эксперты F6 исследовали новый шифровальщик-монстр с Востока

Эксперты F6 исследовали новый шифровальщик-монстр с Востока

изображение: recraft

В феврале 2025 года у российского малого и среднего бизнеса появилась новая угроза – программа-вымогатель PE32. Название нового семейства созвучно с официальным названием формата исполняемых файлов PE32 (Portable Executable). Об атаках с использованием шифровальщика и о трендах восточных групп вымогателей рассказали в новом блоге криминалисты F6.

НазваниеPE32
ЦельВымогательство финансовых средств за расшифровку данных
ЖертвыРоссийские компании малого и среднего бизнеса
Сумма выкупа500-150 000 долларов США в биткоинах (50 000 – 15 000 000 руб. по текущему курсу)
Период активностиС февраля 2025 года по настоящее время
Начальный вектор атакиСкомпрометированные службы удаленного доступа
Программа-вымогательПрограмма-вымогатель разработана на языке программирования Rust, программа осуществляет шифрование файлов в 3 раунда. Одна из первых программ-вымогателей, использующих для шифрования стандарт постквантовой криптографии
ОсобенностиАтакующие не похищают данные жертвы. В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram. Контактные данные одновременно используются в других партнерских программах

С 2022 года Россия стала ареной жесточайшей борьбы с преступными группировками, использующими в атаках программы-вымогатели. Рост таких атак увеличивается год к году. Львиную долю групп вымогателей, атакующих Россию, составляют проукраинские кибербанды и группы, имеющие ближневосточные корни. Не секрет, что многие программы-вымогатели и закрытые партнерские группы изначально были связаны с носителями персидского языка, что и породило такое понятие, как персидские шифровальщики.

Персидские вымогатели атакуют не только Россию, ареал их атак ничем не ограничен, от них страдают физические и юридические лица многих стран, как дружественных, так и недружественных. В России наиболее активны такие восточные партнерские программы, как Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и многие другие.

В течение 2024 года в восточных группах шифровальщиков наметился тренд их качественного развития: они чаще стали атаковать Linux-системы помимо привычных им Windows. В качестве такого примера можно привести партнерскую программу Proxima/BlackShadow. В августе 2024 года появилась новая версия Enmity – программа Mammon, осуществляющая шифрование файлов в два прохода. А в середине февраля 2025 была выявлена первая персидская программа-вымогатель PE32, разработанная на языке программирования Rust. Мировые тенденции не обошли стороной и восточных разработчиков шифровальщиков, они стали использовать для разработки современные кроссплатформенные средства. И все же, справедливости ради стоит отметить, что это не первый шифровальщик на Rust, использованный для атак в России. Первой такой программой-вымогателем стала выявленная год назад программа Muliaka для ESXi.

Первые атаки с использованием PE32 были совершены в середине февраля, в них использовались версии 4.0.1 и 4.1.1, номера версий указаны разработчиками в коде и именах программ-вымогателей. Нами были выявлены ранние версии шифровальщика, загруженные c 04.01.2025 г. на портал VirusTotal одним и тем же пользователем с использованием Tor или VPN (рис. 2). Возможно, автор таким образом проверял обнаружение своих поделок антивирусными программами и всячески их дорабатывал. Мы уже не раз сталкивались с подобными действиями разработчиков вредоносного программного обеспечения.

Все технические подробности, описание тактик, техник и процедур атакующих и рекомендации по защите от вымогателей — в новом блоге от криминалистов F6.

F6
Автор: F6
Российский разработчик технологий для борьбы с киберпреступлениями, поставщик решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети.
Комментарии: