ИТ / Новости
информбезопасность
24.6.2019

Group-IB предупредила о новой кампании вируса-шифровальщика Troldesh

Group-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ.

Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome — это вирус, который шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

На июнь пришелся новый пик активности вируса-шифровальщика. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть запароленный архивный файл, в котором якобы содержатся подробности «заказа». Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.

В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа.

«Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров», — отмечается в сообщении Group-IB.

Предыдущая масштабная кампания Troldesh была в марте этого года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.

Изображение: Lori.ru

Еще по теме

Почему будущих специалистов по информбезопасности разбирают еще со школы

Новые схемы интернет-мошенников и как им противостоять

Почему буксует импортозамещение электронных компонентов

Почему рынок коммерческих дата-центров нуждается в регулировании

Что ждет начинающего тестировщика в 2024 году

Как найти перспективные зарубежные рынки для российских решений

Какие угрозы несет интернет тел человечеству

Успеют ли банки заменить импортный софт и оборудование до 2025 года

Зачем компании вкладывают деньги в ИТ-состязания?

Импортозамещение и внутренняя разработка ПО в страховании

Почему рынок информационных технологий РФ возвращается к классической дистрибуции

Что сделано и не сделано в цифровизации России за 2023 год

Как заботу о вычислениях переложить на вендоров и почему не все к этому готовы

Когда российский бизнес начнет замещать импортное ИТ-оборудование

Чего добились за два года активного импортозамещения ПО