Поделиться
F6: участники C77L атаковали 40 российских компаний менее чем за год
Компания F6, разработчик технологий для борьбы с киберпреступностью, проанализировала атаки персидской партнерской программы C77L, распространяющей программу-вымогатель по модели RaaS (Ransomware as a Service). На счету участников C77L насчитывается не менее 40 атак на российские малые и средние компании, а первоначальная сумма заявленного выкупа достигала 2,4 млн руб.
По данным экспертов лаборатории цифровой криминалистики F6, партнерская программа C77L появилась в марте 2025 г. Ее участники активно атакуют российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг. Также среди пострадавших оказались и государственные организации. По итогам 2025 г. C77L заняла шестое место по количеству атак с использованием программ-вымогателей.
В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, колебались от 400 тыс. до 2,4 млн руб. ($5–30 тыс.).
Атаки партнерской программы скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а полностью сосредоточены на шифровании информации для получения быстрой и стабильной прибыли. Программа-вымогатель C77L, которую отличает высокая скорость шифрования файлов, разработана на языке программирования С++. За девять месяцев было выпущено уже пять её версий.
Как отмечают специалисты F6, основным первоначальным вектором атаки C77L служит подбор паролей учетных записей публично доступных служб удаленного доступа (RDP, VPN). Традиционно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время. Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.
«Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, они не используют каких-то изощренных и инновационных методов. Злоумышленникам не требуется высокая квалификация — при проведении атак они руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты. Тем не менее большинство атак на российские и белорусские предприятия являются успешными. Для противодействия угрозам бизнесу необходимо менять свое отношение и подходы к кибербезопасности, простой установкой антивирусного ПО проблему уже не решить», — сказал Павел Зевахин, специалист по реагированию на инциденты и цифровой криминалистике F6.
Короткая ссылка
