Вымогатели с востока: участники C77L атаковали 40 российских компаний менее чем за год

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, проанализировала атаки персидской партнерской программы C77L, распространяющей программу-вымогатель по модели RaaS (Ransomware as a Service). На счету участников C77L насчитывается не менее 40 атак на российские малые и средние компании, а первоначальная сумма заявленного выкупа достигала 2 400 000 рублей.

По данным экспертов Лаборатории цифровой криминалистики F6, партнерская программа C77L появилась в марте 2025 года. Ее участники активно атакуют российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг. Также среди пострадавших оказались и государственные организации. По итогам 2025 года C77L заняла шестое место по количеству атак с использованием программ-вымогателей.

В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, колебались от 400 000 до 2 400 000 рублей (5000–30 000 долларов США).
Атаки партнерской программы скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а полностью сосредоточены на шифровании информации для получения быстрой и стабильной прибыли. Программа-вымогатель C77L, которую отличает высокая скорость шифрования файлов, разработана на языке программирования С++. За девять месяцев было выпущено уже пять её версий.

Как отмечают специалисты F6, основным первоначальным вектором атаки C77L служит подбор паролей учетных записей публично доступных служб удаленного доступа (RDP, VPN). Традиционно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время. Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.

«Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, они не используют каких-то изощренных и инновационных методов. Злоумышленникам не требуется высокая квалификация — при проведении атак они руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты. Тем не менее, большинство атак на российские и белорусские предприятия являются успешными. Для противодействия угрозам бизнесу необходимо менять свое отношение и подходы к кибербезопасности, простой установкой антивирусного ПО проблему уже не решить».

Павел Зевахин

Специалист по реагированию на инциденты и цифровой криминалистике F6

Технические подробности исследования восточной партнерской программы C77L — в новом блоге на сайте F6.