Эксперты F6: российский малый и средний бизнес подвергся атаке программы-вымогателя PE32

В феврале 2025 года российский малый и средний бизнес столкнулся с новой угрозой — программой-вымогателем PE32. Название этого семейства напоминает официальное название формата исполняемых файлов PE32 (Portable Executable).

Название:
PE32

Цель:
Вымогательство денежных средств за расшифровку данных

Жертвы:
Российские компании малого и среднего бизнеса

Сумма выкупа:
500–150 000 долларов США в биткоинах (50 000–15 000 000 рублей по текущему курсу)

Период активности:
С февраля 2025 года по настоящее время

Начальный вектор атаки:
Скомпрометированные службы удаленного доступа

Программа-вымогатель:
Программа была разработана на языке Rust и шифрует файлы в три этапа. Это одна из первых программ-вымогателей, использующих постквантовую криптографию для шифрования.

Особенности:
Злоумышленники не похищают данные жертвы. В качестве канала связи с жертвой используется электронная почта и Telegram. Эти контактные данные также могут использоваться в других партнёрских программах.

Первые атаки с использованием PE32 произошли в середине февраля, при этом использовались версии 4.0.1 и 4.1.1, которые разработчики указали в коде и именах программ-вымогателей. F6 обнаружили ранние версии шифровальщика, загруженные на портал VirusTotal с 04.01.2025 года одним и тем же пользователем, использующим Tor или VPN (см. рис. 2). Возможно, автор проверял, как его программа обнаруживается антивирусными средствами, и продолжал вносить изменения. Подобные действия со стороны разработчиков вредоносного ПО уже не раз попадались на практике.