Что известно о PE32?
- Цель: вымогательство финансовых средств за расшифровку данных.
- Жертвы: российские компании малого и среднего бизнеса.
- Сумма выкупа: от 500 до 150 000 долларов США в биткоинах.
- Начальный вектор атаки: скомпрометированные службы удаленного доступа.
- Технология шифрования: три раунда шифрования с использованием постквантовой криптографии.
- Контакт с вымогателями: через электронную почту и Telegram.
- Особенность: атакующие не похищают данные жертвы.
PE32 – одна из первых программ-вымогателей, применяющих стандарт постквантовой криптографии. Она разработана на языке Rust и использует передовые методы шифрования, что делает её одной из самых сложных угроз для бизнеса. В ходе анализа были выявлены первые загруженные версии этого шифровальщика – 4.0.1 и 4.1.1, которые появились в VirusTotal ещё 4 января 2025 года.
Рост атак восточных группировок
С 2022 года Россия переживает резкий рост атак программ-вымогателей. В основном, они совершаются проукраинскими кибербандами и группировками с ближневосточными корнями. Некоторые из этих групп изначально были связаны с носителями персидского языка, что дало начало термину «персидские шифровальщики».
Персидские вымогатели атакуют организации по всему миру. Среди наиболее активных восточных партнерских программ в России выделяются Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и другие.
В течение 2024 года восточные группы киберпреступников значительно развили свои технологии:
- Они расширили атаки на Linux-системы, ранее сосредотачиваясь только на Windows.
- В августе 2024 года появилась новая версия Enmity – программа Mammon, использующая двухпроходное шифрование.
- В феврале 2025 года был впервые зафиксирован PE32 – первый персидский шифровальщик на Rust.
Использование Rust стало новой тенденцией среди разработчиков вредоносного ПО. Это позволило им создавать кроссплатформенные шифровальщики, которые могут атаковать не только Windows, но и Linux-серверы. Однако PE32 – не первая программа-вымогатель на Rust, примененная в России. Год назад был обнаружен Muliaka, использовавшийся для атак на серверы ESXi.