Россиян предупредили о рассылке вируса‑вымогателя от лица авиакомпаний и автодилеров
РИАМО – 24 июн. В России зафиксированы новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании, злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ, сообщается на сайте компании-разработчика решений для предотвращения кибератак Group-IB.
«Только в июне Group-IB обнаружила более 1,1 тысячи фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 тысяч. На данный момент кампания по рассылке вируса-вымогателя активна», — говорится в сообщении.
Вирус Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome, шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Центр управления вирусом размещен в сети Tor и постоянно перемещается, что осложняет его блокировку. Troldesh постоянно приобретает новые функции и меняет способы распространения.
«Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы», — отмечается в сообщении.
С начала 2019 года произошло примерно в 2,5 раза больше атак вируса, чем за весь 2018 год. Письма отправляют якобы с почты авиакомпаний, автодилеров и СМИ. Отправитель представляется сотрудником компании и предлагает открыть прикрепленный к письму файл, в котором якобы содержатся подробности «заказа».
«Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа.
Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам», — считает заместитель руководителя CERT Group-IB Ярослав Каргалев.
Впервые активность Troldesh сотрудники компании зафиксировали в 2015 году. В 2018 вирус стал одним из самых распространенных. От действий вымогателей пострадали не только пользователи из России, но и из США, Японии и других стран.