Expertos de F6 identifican un nuevo ransomware PE32 que amenaza a las pymes rusas

En febrero, las pequeñas y medianas empresas (pymes) rusas se enfrentaron a una nueva amenaza: el ransomware PE32. Esta nueva familia de ransomware recibió un nombre que suena similar al formato oficial de archivos ejecutables PE32 (Portable Executable).

¿Qué se sabe sobre PE32?

• Objetivo: extorsión de fondos a cambio del descifrado de datos.
• Víctimas: pequeñas y medianas empresas rusas.
• Monto del rescate: entre 500 y 150 000 dólares estadounidenses en bitcoins.
• Vector de ataque inicial: servicios de acceso remoto comprometidos.
• Tecnología de cifrado: tres rondas de cifrado utilizando criptografía postcuántica.
• Contacto con los extorsionadores: a través de correo electrónico y Telegram.
• Característica: los atacantes no roban los datos de la víctima.

PE32 es uno de los primeros ransomwares que aplica el estándar de criptografía postcuántica. Está desarrollado en lenguaje Rust y utiliza métodos de cifrado avanzados, lo que lo convierte en una de las amenazas más complejas para las empresas. Durante el análisis, se identificaron las primeras versiones cargadas de este ransomware: 4.0.1 y 4.1.1, que aparecieron en VirusTotal el 4 de enero de 2025.

Aumento de los ataques de grupos orientales

Desde 2022, Rusia está experimentando un fuerte aumento de los ataques de ransomware. En su mayoría, son cometidos por ciberbandas proucranianas y grupos con raíces en Oriente Medio. Algunos de estos grupos estaban inicialmente relacionados con hablantes de persa, lo que dio origen al término "ransomware persa".

Los extorsionadores persas atacan a organizaciones en todo el mundo. Entre los programas de socios orientales más activos en Rusia, destacan Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG y otros.

Durante 2024, los grupos orientales de ciberdelincuentes desarrollaron significativamente sus tecnologías:

• Ampliaron los ataques a sistemas Linux, centrándose anteriormente solo en Windows.
• En agosto de 2024, apareció una nueva versión de Enmity: el programa Mammon, que utiliza cifrado de dos pasadas.
• En febrero de 2025, se registró por primera vez PE32, el primer ransomware persa en Rust.

El uso de Rust se ha convertido en una nueva tendencia entre los desarrolladores de malware. Esto les permitió crear ransomwares multiplataforma que pueden atacar no solo Windows, sino también servidores Linux. Sin embargo, PE32 no es el primer ransomware en Rust utilizado en Rusia. Hace un año se descubrió Muliaka, que se utilizaba para atacar servidores ESXi.