Эксперты компании Group-IB зафиксировали новую масштабную волну атак на российские компании вируса-вымогателя Troldesh (aka Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome).
Вирус, который шифрует файлы на зараженном компьютере и требует выкуп, распространяется с помощью рассылки, замаскированной под письма от авиакомпаний, автодилеров и СМИ. В частности, вирус рассылается с почтовых ящиков авиакомпаний (например, «Полярных авиалиний»), автодилеров («Рольф») и от СМИ (РБК, «Новосибирск-online»), указывают эксперты. При этом адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения.
Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh только в текущем квартале стал почти в 2,5 раза больше, чем за весь 2018 год. В последних кампаниях Troldesh не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы, – Group-IB
В тексте перехваченных писем, как сообщают Group-IB, злоумышленники представляются сотрудниками этих компаний и просят открыть аттач — запароленный архивный файл, в котором якобы содержатся подробности «заказа».
В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры. Масштаб атак с использованием Troldesh растет: только в июне Group-IB обнаружила более 1,1 тысячи фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 тысяч, – Group-IB
Эксперты АКБ напоминают, что предыдущее массовое заражение Troldesh произошло в марте 2019 года. Это выглядело как массовая кибератака на российские компании… от имени других российских компаний. Хакеры слали фишинговые письма с умных устройств от имени банков и торговых сетей. С помощью писем хакеры пытались заразить инфраструктуру компаний вирусом-шифровальщиком Shade/Troldesh с целью выкупа. По данным РБК, сперва хакеры рассылали письма от имени банков (в том числе Газпромбанка, «Открытия», Бинбанка), затем – от имени торговых сетей («Дикси», Metro, «Магнита», «Ашана»). Особенность атаки, как и в нынешней волне – использование зараженных умных устройств со всего мира как плацдарма, так что отследить реальных хакеров практически невозможно.
Вирус Troldesh был впервые зафиксирован еще в 2015 году, однако с тех пор его неоднократно модифицировали и расширяли функционал.
