Эксперты компании F6 представили анализ нового шифровальщика PE32, который угрожает российскому малому и среднему бизнесу. Название программы перекликается с форматом исполняемых файлов PE32 (Portable Executable), а ее разработка демонстрирует растущую сложность восточных программ-вымогателей, говорится в блоге компании на портале «Хабр».
Отмечается, что с 2022 года Россия сталкивается с увеличением числа атак, инициированных кибергруппировками, включая проукраинские и ближневосточные. Восточные шифровальщики, такие как Mimic, Proton/Shinra, Proxima, Enmity/Mammon и TeslaRVNG, активно атакуют как российские, так и международные компании. Эти программы отличаются сложными схемами шифрования и маркетинговыми подходами, привлекающими новых партнеров.
В 2024 году наблюдался рост атак на Linux-системы, что подтверждает пример программы Proxima/BlackShadow. В августе 2024 года появилась версия Enmity под названием Mammon, использующая двухпроходное шифрование. В феврале 2025 года был выявлен PE32 — первый персидский шифровальщик, написанный на языке Rust. Эта программа заняла второе место в рейтинге самых сложных схем шифрования, уступив лишь TeslaRVNG.
PE32 использует современные кроссплатформенные технологии и сложные алгоритмы шифрования. Первые атаки с его использованием были зафиксированы в феврале 2025 года, а ранние версии программы были обнаружены на портале VirusTotal. Эксперты предполагают, что разработчики тестировали свои решения на антивирусных системах, совершенствуя их.
В F6 подчеркивают, что восточные шифровальщики продолжают заимствовать идеи друг у друга, что делает их атаки все более изощренными. Программы, такие как Proton и PE32, демонстрируют влияние других семейств, включая TeslaRVNG и Enmity, что подтверждает их концептуальное сходство.