В феврале 2025 года у российского малого и среднего бизнеса появилась новая угроза – программа-вымогатель PE32. Название нового семейства созвучно с официальным названием формата исполняемых файлов PE32 (Portable Executable). Об атаках с использованием шифровальщика и о трендах восточных групп вымогателей рассказали в новом блоге криминалисты F6.
Название
PE32
Цель
Вымогательство финансовых средств за расшифровку данных
Жертвы
Российские компании малого и среднего бизнеса
Сумма выкупа
500-150 000 долларов США в биткоинах (50 000 – 15 000 000 руб. по текущему курсу)
Период активности
С февраля 2025 года по настоящее время
Начальный вектор атаки
Скомпрометированные службы удаленного доступа
Программа-вымогатель
Программа-вымогатель разработана на языке программирования Rust, программа осуществляет шифрование файлов в 3 раунда. Одна из первых программ-вымогателей, использующих для шифрования стандарт постквантовой криптографии
Особенности
Атакующие не похищают данные жертвы. В качестве канала взаимодействия жертвы с атакующими используется электронная почта и Telegram. Контактные данные одновременно используются в других партнерских программах
С 2022 года Россия стала ареной жесточайшей борьбы с преступными группировками, использующими в атаках программы-вымогатели. Рост таких атак увеличивается год к году. Львиную долю групп вымогателей, атакующих Россию, составляют проукраинские кибербанды и группы, имеющие ближневосточные корни. Не секрет, что многие программы-вымогатели и закрытые партнерские группы изначально были связаны с носителями персидского языка, что и породило такое понятие, как персидские шифровальщики.
Персидские вымогатели атакуют не только Россию, ареал их атак ничем не ограничен, от них страдают физические и юридические лица многих стран, как дружественных, так и недружественных. В России наиболее активны такие восточные партнерские программы, как Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и многие другие.
Авторы программ-вымогателей, как на восточном базаре, стараются удивить всех уникальными возможностями своих творений, а также привлечь с помощью этого больше новых партнеров, также падких на "базарный" маркетинг. Восточные партнерские программы имеют достаточно закрытый формат, но при этом в них всё тесно переплетается восточными узорами: многие преступные группы могут быть участниками нескольких партнерских программ.
В течение 2024 года в восточных группах шифровальщиков наметился тренд их качественного развития: они чаще стали атаковать Linux-системы помимо привычных им Windows. В качестве такого примера можно привести партнерскую программу Proxima/BlackShadow. В августе 2024 года появилась новая версия Enmity – программа Mammon, осуществляющая шифрование файлов в два прохода. А в середине февраля 2025 была выявлена первая персидская программа-вымогатель PE32, разработанная на языке программирования Rust. Мировые тенденции не обошли стороной и восточных разработчиков шифровальщиков, они стали использовать для разработки современные кроссплатформенные средства. И все же, справедливости ради стоит отметить, что это не первый шифровальщик на Rust, использованный для атак в России. Первой такой программой-вымогателем стала выявленная год назад программа Muliaka для ESXi.
В программе-вымогателе PE32 помимо использования Rust для разработки реализована одна из самых сложных схем шифрования, что позволило PE32 занять "почетное" второе место в нашем неофициальном рейтинге Топ-3 шифровальщиков с самой сложной реализацией шифрования данных:
1. TeslaRVNG
2. PE32
3. Mimic
Семейство TeslaRVNG известно с 2020 года, но используется в атаках не так часто. Нам программа-вымогатель TeslaRVNG впервые попалась в начале июля 2021 года: тогда у нашего клиента файлы были зашифрованы с расширением teslarvng2. В 2024 году партнеры TeslaRVNG стали более активно атаковать российские компании – для зашифрованных файлов использовались расширения secles и secles2.
Программы-вымогатели Mimic появились в июне 2022 года. По всей видимости, первыми целями Mimic были туркоговорящие пользователи, но сейчас Mimic – абсолютный лидер по атакам на российский малый бизнес. Семейству Mimic мы обязательно посвятим отдельную публикацию.
Восточные шифровальщики при всех своих внешних различиях имеют концептуальное сходство между собой, очень много идей заимствуется друг у друга. Так, программа-вымогатель Proton была явно разработана под влиянием LokiLocker/BlackBit. В случае же с PE32 прослеживаются идеи и подходы TeslaRVNG, Enmity и других программ-вымогателей.
Первые атаки с использованием PE32 были совершены в середине февраля, в них использовались версии 4.0.1 и 4.1.1, номера версий указаны разработчиками в коде и именах программ-вымогателей. Нами были выявлены ранние версии шифровальщика, загруженные c 04.01.2025 г. на портал VirusTotal одним и тем же пользователем с использованием Tor или VPN (рис. 2). Возможно, автор таким образом проверял обнаружение своих поделок антивирусными программами и всячески их дорабатывал. Мы уже не раз сталкивались с подобными действиями разработчиков вредоносного программного обеспечения.Информация о загрузке на портал VirusTotal самой первой версии PE32
Все технические подробности, описание тактик, техник и процедур атакующих и рекомендации по защите от вымогателей — в новом блоге от криминалистов F6.
Источник новости: habr.com
