Зафиксированы новые масштабные атаки вируса-шифровальщика Troldesh

Всего во втором квартале 2019 года количество фишинговых писем с Troldesh превысило 6 000, из них в июне - более 1100. По словам Ярослава Каргалева, заместителя руководителя CERT-GIB, если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиа, сферы рекрутинга и СМИ. Он полагает, что это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров.

В тексте перехваченных писем злоумышленники представляются сотрудниками компаний и просят открыть аттач – запароленный архивный файл, в котором якобы содержатся подробности «заказа».  Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов,  зараженные IoT-устройства, например, роутеры.

Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome  – это вирус, который шифрует файлы на зараженном устройстве пользователя и требует у выкуп, чтобы восстановить доступ к информации.  Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

По материалам Group-IB