Эксперты F6 исследовали новый шифровальщик-монстр с Востока

В феврале 2025 года у российского малого и среднего бизнеса появилась новая угроза – программа-вымогатель PE32. Название нового семейства созвучно с официальным названием формата исполняемых файлов PE32 (Portable Executable). Об атаках с использованием шифровальщика и о трендах восточных групп вымогателей рассказали в новом блоге криминалисты F6.

Название

PE32

Цель

Вымогательство финансовых средств за расшифровку данных

Жертвы

Российские компании малого и среднего бизнеса

Сумма выкупа

500-150 000 долларов США в биткоинах (50 000 – 15 000 000 руб. по текущему курсу)

Период активности

С февраля 2025 года по настоящее время

Начальный вектор атаки

Скомпрометированные службы удаленного доступа

Программа-вымогатель

Программа-вымогатель разработана на языке программирования Rust, программа осуществляет шифрование файлов в 3 раунда. Одна из первых программ-вымогателей, использующих для шифрования стандарт постквантовой криптографии

Особенности

Атакующие не похищают данные жертвы. В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram. Контактные данные одновременно используются в других партнерских программах

С 2022 года Россия стала ареной жесточайшей борьбы с преступными группировками, использующими в атаках программы-вымогатели. Рост таких атак увеличивается год к году. Львиную долю групп вымогателей, атакующих Россию, составляют проукраинские кибербанды и группы, имеющие ближневосточные корни. Не секрет, что многие программы-вымогатели и закрытые партнерские группы изначально были связаны с носителями персидского языка, что и породило такое понятие, как персидские шифровальщики.

Персидские вымогатели атакуют не только Россию, ареал их атак ничем не ограничен, от них страдают физические и юридические