Жертвами вымогателей C77L стали 40 российских компаний
Специалисты компании F6 проанализировали деятельность персидской партнерской программы C77L, которая распространяет программу-вымогатель по модели RaaS (Ransomware as a Service). Как сообщили в компании, с момента появления группировки в марте 2025 года ее участники совершили не менее 40 атак на российские малые и средние предприятия. Суммы первоначального выкупа за расшифровку данных достигали 2,4 млн рублей.
Жертвами злоумышленников становились компании из сфер торговли, производства и услуг, а также государственные организации. По итогам 2025 года C77L заняла шестое место по количеству атак с использованием программ-вымогателей.
В качестве основного вектора атак используется подбор паролей к публично доступным службам удаленного доступа (RDP, VPN). Проникновение в инфраструктуру, как правило, происходит в ночное время. Целью являются Windows-системы. Злоумышленники не крадут данные, а сосредоточены на шифровании информации для получения быстрого выкупа.
Шифровальщик C77L, разработанный на C++, отличается высокой скоростью шифрования. За девять месяцев было выпущено пять версий программы. Изначально запрашиваемая сумма выкупа в биткоинах составляла от 400 тысяч до 2,4 млн рублей (5–30 тысяч долларов).
Как указывается в сообщении компании F6, в своих действиях участники C77L применяют те же техники, что и другие связанные с регионом группировки, следуя шаблонным инструкциям и используя готовые скрипты.
Читайте также
