Шифровальщик PE32 атакует бизнес в России: выкуп до $150 000

Шифровальщик PE32 атакует бизнес в России: выкуп до $150 000

Шифровальщик PE32 атакует бизнес в России: выкуп до $150 000

В феврале 2025 года российский малый и средний бизнес столкнулся с новой киберугрозой — программой-вымогателем PE32. Новый шифровальщик требует выкуп в размере от 500 до 150 000 долларов США в биткоинах (50 000 – 15 000 000 рублей по текущему курсу) за расшифровку данных.

Об этой киберугрозе сообщили криминалисты F6 в своем блоге.

  • Цель: Вымогательство денег у организаций.
  • Жертвы: Российские компании малого и среднего бизнеса.
  • Метод атаки: Проникновение через скомпрометированные службы удаленного доступа.
  • Технологии: Разработан на языке программирования Rust, использует трехраундовое шифрование файлов, а также является одной из первых программ-вымогателей, использующих постквантовую криптографию.
  • Особенности: В отличие от большинства шифровальщиков, атакующие не похищают данные жертв, а взаимодействие с пострадавшими ведут через электронную почту и Telegram. Контактные данные преступников также используются в других партнерских программах.

С 2022 года количество атак программ-вымогателей в России неуклонно растет, при этом значительная часть группировок имеет проукраинские или ближневосточные корни. Восточные партнерские программы, такие как Mimic, Proton/Shinra, Proxima, Enmity/Mammon, LokiLocker/BlackBit, RCRU64, HardBit, Sauron, TeslaRVNG и другие, продолжают атаковать российские организации.

В 2024 году зафиксирован тренд перехода шифровальщиков на атаки Linux-систем наряду с традиционными атаками на Windows. Например, партнерская программа Proxima/BlackShadow адаптировала свои инструменты для Linux. В августе 2024 года появилась новая версия Enmity — программа Mammon, использующая двухпроходное шифрование.

PE32 стал первым выявленным персидским шифровальщиком, разработанным на Rust. Однако он не является первой программой-вымогателем на этом языке, использованной для атак в России — ранее была обнаружена программа Muliaka, предназначенная для атак на виртуальные среды ESXi.

Первые атаки PE32 зафиксированы в середине февраля 2025 года. Исследователи F6 обнаружили, что номера версий шифровальщика (4.0.1 и 4.1.1) указаны в коде вредоносных программ. Более ранние версии PE32 загружались на VirusTotal еще с 4 января 2025 года через анонимные сети Tor и VPN. Специалисты полагают, что таким образом разработчик тестировал уровень детектирования своего софта антивирусными решениями и совершенствовал его защиту от обнаружения.

Рекомендации по защите Чтобы минимизировать риск заражения, экспертное сообщество рекомендует:

  • Использовать многофакторную аутентификацию (MFA) для защиты удаленного доступа.
  • Обновлять системы и программное обеспечение до актуальных версий.
  • Проводить регулярные резервные копирования данных и хранить их в изолированных средах.
  • Ограничить доступ к критически важным системам и мониторить подозрительную активность в сети.

Кибератаки с применением шифровальщиков становятся все более изощренными, а преступники продолжают совершенствовать свои инструменты. Важно своевременно принимать меры защиты, чтобы избежать финансовых и репутационных потерь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минцифры и ФСТЭК России обновили правила категорирования для сферы связи

Минцифры совместно с ФСТЭК России выпустило обновлённую версию методических рекомендаций по категорированию объектов критической информационной инфраструктуры (КИИ) в сфере связи.

Документ уже опубликован. Внесённые изменения распространяются на все организации, ранее отнесённые к субъектам КИИ.

«Методические рекомендации разработаны в соответствии с пунктом 5 Плана-графика обеспечения реализации указания Президента Российской Федерации от 21.05.2024 № Пр-965», — говорится в преамбуле документа.

Ключевые нововведения включают:

  • Обязанность компаний определить возможный ущерб в случае отказа инфраструктуры, включая количество пользователей, которых может затронуть инцидент, а также потенциальный вред для самой организации и государственных структур, использующих её услуги;
  • Для организаций, работающих с информацией, отнесённой к государственной тайне, вводятся обязательные требования по отчётности;
  • Компании обязаны регулярно проводить оценку состояния своей ИТ-инфраструктуры.

По данным Red Security, в 2024 году на объекты КИИ пришлось 64% всех кибератак. При этом доля инцидентов высокой критичности выросла до 68%, тогда как в 2023 году она составляла 47%. Отрасли ИТ и телекоммуникаций заняли второе место по количеству атак, уступив лишь промышленности.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru