СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.04.2025
#Dev#ИБ

Новая угроза: Программа-вымогатель PE32 на киберрынке

Новая угроза: Программа-вымогатель PE32 на киберрынке

Источник: any.run

Программа-вымогатель PE32 зарекомендовала себя как серьезный игрок на рынке вредоносного программного обеспечения. Она выделяется своими упрощенными, но эффективными методами шифрования и передачи данных, что делает её опасной для пользователей.

Методы распространения и активации

PE32 привлекает пользователей, обычно используя следующие средства:

  • Вложения в электронную почту;
  • Пиратское программное обеспечение.

После активации, программа шифрует файлы агрессивным образом, нацеливаясь на известные места, такие как рабочий стол. При этом, она использует методы, которые не позволяют выбирать файлы для шифрования, что приводит к шифрованию даже некритичных файлов, таких как языковые пакеты и статические ресурсы.

Канал управления и безопасность

Коммуникация вредоносного ПО осуществляется только через Telegram Bot API. Интересно, что программа использует свой токен бота в коде, что ставит под угрозу её собственную операционную безопасность. Упрощенный выбор канала управления (C2) не только указывает на неопытность разработчиков, но и упрощает отслеживание программы:

  • Внешние участники могут забрасывать бота фальшивыми запросами;
  • Злоумышленники могут выдавать себя за функциональность бота.

Модель выкупа и уникальные черты

Процесс шифрования запускается после запроса, при этом PE32 применяет двухуровневую модель выкупа:

  • Плата за разблокировку зашифрованных файлов;
  • Дополнительная плата за предотвращение утечки данных.

Технические характеристики

Несмотря на свою хаотичность, PE32 имеет некоторые механизмы защиты. Она скрывает окно процесса во время выполнения и передает свое состояние в заранее заданную группу Telegram. Также программа собирает информацию о системе, такую как GUID и имя хоста, что уменьшает вероятность заражения в некоторых регионах — стандартный способ минимизации юридических последствий для хакеров.

Уязвимости и экспертиза

Тем не менее, безрассудный подход к шифрованию приводит к активизации различных систем обнаружения, таких как законные файлы телеметрии, связанные с утилитой Windows chkdsk. С технической точки зрения, PE32 работает с стандартными библиотеками DLL, включая:

  • ntdll.dll
  • kernel32.dll
  • crypt32.dll
  • bcrypt.dll

Это указывает на недостаток сложности и демонстрирует, что даже плохо разработанное вредоносное ПО может оказывать пагубное воздействие на пользователей.

Выводы

Использование общедоступной платформы для обмена данными, с видимыми конфигурационными данными, создает сложности для служб безопасности и может способствовать более легкому тиражированию программы другими хакерами. Это также подчеркивает постоянную угрозу, которую программы-вымогатели, такие как PE32, представляют для пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: