В феврале 2025 года российский малый и средний бизнес столкнулся с новой угрозой — программой-вымогателем PE32. Название этого семейства напоминает официальное название формата исполняемых файлов PE32 (Portable Executable).
Название:
PE32
Цель:
Вымогательство денежных средств за расшифровку данных
Жертвы:
Российские компании малого и среднего бизнеса
Сумма выкупа:
500–150 000 долларов США в биткоинах (50 000–15 000 000 рублей по текущему курсу)
Период активности:
С февраля 2025 года по настоящее время
Начальный вектор атаки:
Скомпрометированные службы удаленного доступа
Программа-вымогатель:
Программа была разработана на языке Rust и шифрует файлы в три этапа. Это одна из первых программ-вымогателей, использующих постквантовую криптографию для шифрования.
Особенности:
Злоумышленники не похищают данные жертвы. В качестве канала связи с жертвой используется электронная почта и Telegram. Эти контактные данные также могут использоваться в других партнёрских программах.
Первые атаки с использованием PE32 произошли в середине февраля, при этом использовались версии 4.0.1 и 4.1.1, которые разработчики указали в коде и именах программ-вымогателей. F6 обнаружили ранние версии шифровальщика, загруженные на портал VirusTotal с 04.01.2025 года одним и тем же пользователем, использующим Tor или VPN (см. рис. 2). Возможно, автор проверял, как его программа обнаруживается антивирусными средствами, и продолжал вносить изменения. Подобные действия со стороны разработчиков вредоносного ПО уже не раз попадались на практике.
Название:
PE32
Цель:
Вымогательство денежных средств за расшифровку данных
Жертвы:
Российские компании малого и среднего бизнеса
Сумма выкупа:
500–150 000 долларов США в биткоинах (50 000–15 000 000 рублей по текущему курсу)
Период активности:
С февраля 2025 года по настоящее время
Начальный вектор атаки:
Скомпрометированные службы удаленного доступа
Программа-вымогатель:
Программа была разработана на языке Rust и шифрует файлы в три этапа. Это одна из первых программ-вымогателей, использующих постквантовую криптографию для шифрования.
Особенности:
Злоумышленники не похищают данные жертвы. В качестве канала связи с жертвой используется электронная почта и Telegram. Эти контактные данные также могут использоваться в других партнёрских программах.
Первые атаки с использованием PE32 произошли в середине февраля, при этом использовались версии 4.0.1 и 4.1.1, которые разработчики указали в коде и именах программ-вымогателей. F6 обнаружили ранние версии шифровальщика, загруженные на портал VirusTotal с 04.01.2025 года одним и тем же пользователем, использующим Tor или VPN (см. рис. 2). Возможно, автор проверял, как его программа обнаруживается антивирусными средствами, и продолжал вносить изменения. Подобные действия со стороны разработчиков вредоносного ПО уже не раз попадались на практике.
