Участники персидской C77L менее чем за год атаковали минимум 40 российских компаний
Распространяющая программу-вымогатель персидская C77L менее чем за год совершила как минимум 40 атак на российские малые и средние компании, сообщил Forbes разработчик технологий для борьбы с киберпреступностью F6. По его данным, запрашиваемые участниками C77L суммы первоначального выкупа достигали 2,4 млн рублей. При этом высокая квалификация злоумышленникам не требуется — они действуют по шаблонным инструкциям и используют готовые скрипты для автоматизации большинства действий
Участники персидской партнерской программы C77L, распространяющей программу-вымогатель по модели RaaS (Ransomware as a Service), менее чем за год совершили как минимум 40 атак на российские малые и средние компании, сообщила Forbes компания — разработчик технологий для борьбы с киберпреступностью F6. По ее данным, первоначальная сумма заявленного выкупа достигала 2,4 млн рублей.
По данным экспертов Лаборатории цифровой криминалистики F6, партнерская программа C77L появилась в марте 2025 года. Атакам ее участников подвергаются российские и белорусские предприятия малого и среднего бизнеса (преимущественно в сферах торговли, производства и услуг), пострадавшие есть и среди государственных организаций, рассказали в F6. По итогам 2025 года C77L заняла шестое место по количеству атак с использованием программ-вымогателей.
Cуммы первоначального выкупа, которые участники C77L запрашивали в биткоинах за расшифровку данных, колебались в среднем от 400 000 до 2,4 млн рублей ($5000–30 000). По данным F6, атаки C77L скоротечны: злоумышленники не ставят задачу украсть данные жертв, а полностью сосредоточены на шифровании информации для получения быстрой и стабильной прибыли. Программа-вымогатель C77L отличается высокой скоростью шифрования файлов, разработана она на языке программирования С++. За девять месяцев было выпущено уже пять ее версий.
Основным первоначальным вектором атаки C77L служит подбор паролей учетных записей публично доступных служб удаленного доступа (RDP, VPN), отметили специалисты F6. Проникновение злоумышленников в инфраструктуру жертвы традиционно происходит в ночное время, а целевыми объектами атак являются Windows-системы (как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса).
«Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, они не используют каких-то изощренных и инновационных методов», — прокомментировал Павел Зевахин, специалист по реагированию на инциденты и цифровой криминалистике F6. По его словам, высокая квалификация злоумышленникам не требуется — они действуют по шаблонным инструкциям и используют для автоматизации большинства действий готовые скрипты. «Тем не менее большинство атак на российские и белорусские предприятия являются успешными», — отметил Зевахин. Он добавил, что бизнесу необходимо менять подходы к кибербезопасности: одной лишь установкой антивирусного ПО «проблему уже не решить».
Партнерская группа связана с носителями языка фарси. Предположительно, C77L была образована в отдельную партнерскую программу участниками Proton. Так, в нескольких атаках Proton в 2024 году использовалось расширение для зашифрованных файлов — c77L. Восточные партнерские программы имеют достаточно закрытый формат, но при этом они связаны друг с другом: многие преступные группы могут быть участниками нескольких партнерских программ.
По данным F6, Proton — написанный на C++ аналог шифровальщика LokiLocker/Blackbit. Аналогично LokiLocker/BlackBit, Proton в ранних версиях при запуске проверял наличие установленной раскладки клавиатуры fa-IR (персидская клавиатура).