УправлениеБезопасность

Злоумышленники рассылают письма от лица известных компаний

| 24.06.2019

Злоумышленники рассылают письма от лица известных компаний

Эксперты Group-IB предупредили о новой масштабной атаке вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ.

Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh во втором квартале 2019 почти в 2,5 раза больше, чем за весь 2018-й год.  На июнь пришелся новый пик. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть аттач – запароленный архивный файл, в котором якобы содержатся подробности «заказа».  Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры. 

Только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вируса-вымогателя активна.

Как отметил Ярослав Каргалев, заместитель руководителя CERT-GIB, в июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше вирус распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров.

Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome – это вирус, который шифрует файлы на зараженном устройстве пользователя и требует у выкуп, чтобы восстановить доступ к информации.  Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы. 

Впервые активность Troldesh эксперты Group-IB зафиксировали еще в 2015 году, они обратили внимание на то, что вирус успешно обходил антивирусные средства защиты. Злоумышленники регулярно меняли “пакер” — программу-упаковщик, которая уменьшает размер файла и создавала сложности в обнаружении и реверсе — из-за этого антивирусные программы часто пропускали его. К концу 2018 году Troldesh стал одним из самых популярных вирусов-шифровальщиков и уверенно вошел в топ-3, наряду с RTM и Pony. Эксперты PaloAlto Networks сообщали, что Troldesh работает не только по российским целям — среди стран, пострадавших от действий вымогателей — США, Япония, Индия, Таиланд и Канада.  

Group-IB Фишинг Безопасность

Журнал: Журнал IT-News, Подписка на журналы


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Мысли вслух

Сейчас мы вступаем в следующую фазу выздоровления и восстановления, но гибридный мир никуда не денется
Почему бы при «смартовании» цели не подумать о некоторой геймификации?
В России опрос показал: 48% составляют технооптимисты, а больше половины – технофобы и техноскептики.

Компании сообщают

Мероприятия

Онлайн-конференция «Открытые дни Directum»
ОНЛАЙН
Бесплатно
21.04.2021 — 22.04.2021
10:00–13:30
Blockchain Life 2021
Москва, Music Media Dome
2 390 руб
21.04.2021 — 22.04.2021
08:00–20:00
Hot Mobile&Backend: офлайн-митап в Санкт-Петербурге
Санкт-Петербург, ул. Казанская, 7 (пространство Freedom, залы «Библиотека» и Brandroom)
24.04.2021
11:00
Онлайн-конференция IT Entrance
ОНЛАЙН
Бесплатно
24.04.2021
10:00-15:00