Новая группа вымогателей M3rx: первые атаки и технические особенности шифровальщика

Первые публичные упоминания M3rx появились 23 апреля 2026 года, когда на сайте утечки группы был опубликован пост об атаке на компанию rotak.it. Спустя три дня, 26 апреля, последовал массовый выброс данных сразу о пяти жертвах: rainforestclean.com, airdriephysio.com, primeproperties.com.au, anvilarts.org.uk и dmschweiz.ch. Операторы утверждают, что похитили от 54 до 480 гигабайт информации в каждом случае. Пока эти цифры нельзя проверить независимо, но сам факт быстрого накопления публичных жертв свидетельствует о начале активной кампании. Отчёт аналитической платформы RansomLook зафиксировал все шесть записей по состоянию на 27 апреля, а исследователи из PurpleOps в своей сводке за 26 апреля использовали альтернативное написание M3RXDLS, однако набор жертв совпадает, что позволяет считать эти обозначения синонимами.

С технической стороны особый интерес представляет сам исполняемый файл шифровальщика. Образец, загруженный на песочницу Triage 25 апреля, представляет собой 64-разрядное приложение для Windows на языке Go (версия 1.20.14). Его размер составляет около 2,5 мегабайт. После запуска программа выполняет несколько действий: шифрует файлы, добавляя к ним расширение .8hmlsewu, создаёт записку с требованиями выкупа (RECOVERY_NOTES.TXT), очищает корзину через системный вызов SHEmptyRecycleBin и в конце самоудаляется с помощью PowerShell. Интересно, что шифровальщик также использует Restart Manager для разблокировки файлов, которые могут быть заняты другими процессами, что повышает вероятность успешного шифрования.

Конфигурация M3rx хранится прямо внутри двоичного файла в закодированном виде. Она расположена в секции .rdata и представляет собой блок размером 0x1000 байт. Чтобы извлечь настройки, нужно дописать к этому блоку недостающий заголовок gzip, после чего выполнить декомпрессию. Полученные данные оказываются в формате Go gob, который затем разбирается в структуру с четырьмя полями: открытый ключ оператора для обмена ключами, расширение зашифрованных файлов, имя файла с запиской и сам шаблон требования. Такой подход усложняет прямое извлечение конфигурации через простой поиск строк, но при наличии навыков реверс-инжиниринга не представляет серьёзной преграды.

Криптографическая схема M3rx заслуживает отдельного внимания. Для каждого сеанса работы шифровальщик генерирует эфемерную пару ключей X25519. Открытый ключ оператора зашит в конфигурации. При запуске программа вычисляет общий секрет (shared secret) на основе своего эфемерного закрытого ключа и открытого ключа оператора. Этот общий секрет используется для заворачивания (wrapping) по AES-GCM ключа каждого отдельного файла. Сами же файлы шифруются потоковым шифром AES-CTR с уникальным вектором инициализации и 256-битным ключом для каждого файла. После завершения шифрования каждого файла к нему добавляется фиксированный блок размером 0x400 байт (футер). В финальном состоянии футер содержит магическое число 0x741fbe88, открытый ключ сеанса, завернутый AES-ключ файла и другую служебную информацию.

Важная деталь: если процесс шифрования прерывается, футер может остаться в промежуточном состоянии с магическим числом 0x3828ac45. В таком случае в нём всё ещё присутствует незашифрованный (plaintext) ключ файла, записанный по смещению 0x18 аналитики. Это открывает узкое окно для восстановления данных без ключа оператора, если удаётся захватить прерванный зашифрованный файл до того, как он будет полностью дописан.

По умолчанию шифровальщик обрабатывает не весь файл целиком, а только фрагменты. В конфигурации задан процентный параметр, при стандартном значении 1% каждый мегабайт файла шифруется лишь частично: для окна в 1 мегабайт программа шифрует 8192 байта, из которых 7168 байт записываются как зашифрованные (остальное уходит на футер). Такой подход ускоряет работу на больших объёмах и делает частичное восстановление ещё более затруднительным, если ключи утеряны.

Группа M3rx использует классическую схему двойного вымогательства: файлы шифруются, а затем операторы угрожают опубликовать похищенные данные, если выкуп не будет выплачен. Записка предлагает связаться через чат-бота в Tor или по Tox, бесплатно расшифровать до трёх файлов в качестве доказательства, а затем перевести выкуп в биткоинах. При этом угроза публикации дополняется обещанием передать данные конкурентам жертвы. Пока нет публичных свидетельств того, что M3rx связана с какой-либо известной хакерской группой или использует определённый вектор первоначального взлома. Однако появление собственного шифровальщика и сайта утечки указывает на то, что это не случайные любители, а как минимум среднего уровня операторы.

Для специалистов по защите информации появление M3rx - ещё одно напоминание о важности мониторинга новых угроз и регулярного резервного копирования. Возможность восстановить прерванные файлы с промежуточным футером может помочь в отдельных инцидентах, если атака была остановлена на ранней стадии. Однако основной способ защиты остаётся прежним: своевременное обновление ПО, сегментация сети и многофакторная аутентификация для всех критических систем. Группа продолжает действовать, и можно ожидать, что её активность в ближайшие недели только вырастет.

Onion Domains

• pippahtohg6qgioqu3ixrsueefuw7thythmmeanyrgwn3eixcuu6jvqd.onion

MD5

• 071e2e0087554d96bba6a4ab73d88cd0

SHA1

• 521b1bd3f30ca50eaee6f74718b97dbe8a49c245

SHA256

• 34af56de4c2b7216ce832be471c791eb350248683cb91924eefdcfc67738f296
• b09ece33ffe5efb1903526229595a8c74d983c731505bee09c2a005036c834b8
• cdbe4aed37c98d67a005ef469e7e0586e0ff8973b91a8d577d320e67cf46b572
• fc18506bbbbe57fdcecaa424735705501480e6708b634457010a5cf6bdc42525