Спецпроекты

Безопасность Пользователю Стратегия безопасности Маркет

На российские компании напал могучий шифровальщик

Против российских организаций в настоящий момент проводится масштабная кампания по рассылке вируса-шифровальщика Troldesh. Раньше вирус рассылался от лица банков, а сейчас — от имени авиакомпаний и СМИ. Он умеет не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на сайты.

Атака Troldesh

Российские организации в настоящий момент подвергаются масштабной атаке вируса-шифровальщика Troldesh (Shade). Об этом сообщает компания Group-IB, специализирующаяся на информационной безопасности.

Вирус рассылается жертвам по электронной почте. В июне сотрудникам Group-IB удалось выявить более 1,1 тыс. писем, которые его содержат. Это говорит о новом пике активности вируса. Во втором квартале 2019 г. таких писем было обнаружено более 6 тыс., что, по данным Threat Detection System (TDS), почти в 2,5 раза больше, чем за весь 2018 г.

От кого приходят письма

Вредоносные письма отправляются жертвам от имени авиакомпаний, включая «Полярные авиалинии», автодилеров, в том числе «Рольф», а также от лица СМИ, например, РБК и Новосибирск-online. Также для прикрытия используются компании из сфер ритейла, нефтегаза, строительства и рекрутинга. Group-IB отмечает, что все адреса отправителей фальсифицированы и никак не связаны с реальными компаниями.

В письмах злоумышленники обычно представляются сотрудниками данных компаний. Они просят жертву открыть прикрепленный к письму запароленный архивный файл, якобы содержащий детали «заказа».

Специалисты Group-IB отмечают, что ранее рассылка Troldesh производилась в основном от имени банков, однако на данный момент злоумышленники отошли от этой практики — по-видимому, в связи с усилением мер противодействия фишингу в банках. Теперь если письмо с Troldesh и отсылается от лица банка, то оно замаскировано под персональное письмо от его топ-менеджера.

Что умеет вирус

Troldesh известен под рядом других имен, включая Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Вирус шифрует данные на устройстве жертвы и требует выкуп за восстановление доступа к ним. Центр управления Troldesh находится в сети Tor. Его трудно заблокировать, поскольку он постоянно меняет местоположение. Вероятность заражения от этого растет.

hack600.jpg
Российские компании попали под атаку известного вируса-шифровальщика

Troldesh можно купить или арендовать на специализированных площадках в даркнете. Функциональность вируса постоянно пополняется новыми возможностями, способы распространения меняются. Судя по последним атакам, Troldesh научился не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на веб-сайты, благодаря чему у них растет посещаемость и выручка от онлайн-рекламы.

В июньской рассылке Troldesh использована арендованная бот-сеть. Для осуществления рассылки необходима довольно масштабная инфраструктура, куда входят серверы и зараженные устройства интернета вещей, такие как роутеры.

История Troldesh

Последняя масштабная атака Troldesh на российские компании наблюдалась в марте 2019 г. Рассылка производилась от лица представителей известных брендов из сферы ритейла, финансов и строительства.

Впервые Troldesh был обнаружен сотрудниками Group-IB в 2015 г. Вирус был примечателен тем, что мог обмануть антивирусы. Такое поведение Troldesh демонстрировал благодаря тому, что злоумышленники периодически меняли «пакер» — программу-упаковщик, предназначенную для уменьшения размера файла.

В конце 2018 г. Troldesh уже входил в тройку самых популярных вирусов-шифровальщиков вместе с RTM и Pony. Исследователи безопасности из PaloAlto Networks отмечали, что вирус используется против организаций не только в России, но и в США, Японии, Индии, Таиланде и Канаде.

Атаки знаменитых шифровальщиков

Напомним, активность вирусов-шифровальщиков была чрезвычайно высока в 2017 г. В середине мая разразилась настоящая эпидемия вируса WannaCry, который требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были отмечены в России: он поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.

В июне 2017 г. началась эпидемия нового вируса-вымогателя — Petya. В России вирусом были атакованы нефтяные компании «Роснефть» и принадлежащая ей «Башнефть». О проблемах из-за вируса сообщали представительства компаний Mondelez (производит шоколад Alpen Gold и Milka) и Mars, а также ХКФ-банк.

Валерия Шмырова

Короткая ссылка