Эксперты компании F6 обнаружили новую угрозу для российского малого и среднего бизнеса в виде шифровальщика PE32. Это вымогатель, оператор которого требует деньги за разблокирование скомпрометированного устройства.
В блоге на портале Хабр компания сообщает, что многие вирусы-вымогатели и закрытые партнёрские группы изначально были часто связаны с носителями персидского языка. Это привело к появлению понятия «персидские шифровальщики», один из которых сейчас и используют злоумышленники.
По мнению экспертов, использование шифровальщика PE32, свидетельствует о растущей сложности восточных программ-вымогателей. Кибергруппы, в том числе проукраинские и ближневосточные, ответственны за рост числа атак в России с 2022 года. Злоумышленники используют сложные схемы шифрования и инновационные маркетинговые подходы для привлечения новых партнёров.
В 2024 году заметно увеличилось количество атак на Linux-системы, примером которых является программа Proxima/BlackShadow. В августе 2024 года появилась ещё одна программа, Enmity/Mammon, использующая двухпроходное шифрование.
В феврале 2025 года был обнаружен персидский шифровальщик под названием PE32, написанный на языке Rust. Эксперты считают PE32 второй по сложности схемой шифрования, уступая лишь TeslaRVNG. В программе используются современные кроссплатформенные технологии и сложные алгоритмы шифрования, а первые атаки с её использованием были зафиксированы в феврале 2025 года.
«Первые атаки с использованием PE32 были совершены в середине февраля, в них использовались версии 4.0.1 и 4.1.1, номера версий указаны разработчиками в коде и именах программ-вымогателей. Нами были выявлены ранние версии шифровальщика, загруженные c 04.01.2025 г. на портал VirusTotal одним и тем же пользователем с использованием Tor или VPN (рис. 2). Возможно, автор таким образом проверял обнаружение своих поделок антивирусными программами и всячески их дорабатывал. Мы уже не раз сталкивались с подобными действиями разработчиков вредоносного программного обеспечения», — сказано в материале.