Злоумышленники начали масштабную атаку на российские компании с помощью нового вируса-шифровальщика Troldesh. В отличие от своих аналогичных модификаций, которые шифровали информацию на дисках и требовали выкуп, он способен скрытно майнить и посещать определенные сайты.
Атака Troldesh
Специалисты по информационной безопасности компании Group-IB сообщили о начавшейся атаке нового вируса-шифровальщика Troldesh (Shade).
Распространение вируса происходит путем рассылки инфицированных писем. За несколько дней было обнаружено более 1000 электронных сообщений с данным зловредом, что свидетельствует о резком росте активности злоумышленников. В целом в I квартале 2019 зафиксировано порядка 6 тыс. таких писем.
Кто рассылает вредоносные сообщения
Кибермошенники отправляют зараженные письма от лица реально существующих компаний, известных СМИ, авиаперевозчиков, автосалонов. Иногда злоумышленники прикрываются компаниями из нефтегазового сектора, сферы недвижимости и рекрутинга. На самом деле используемые адреса отправителей никоим образом не связаны с существующими компаниями.
Сфальсифицированное электронное сообщение содержит вступительный текст якобы от сотрудника компании и приложенный архив с паролем, который, по словам отправителя, содержит важную информацию. Часто используется «легенда» о заказе товаров и услуг с высылкой накладной либо иных подтверждающих документов.
Предыдущий пик распространения вируса Troldesh был замечен в марте 2019 года. Тогда атака на российские компании проводилась от имени сотрудников известных компаний, работающих в финансовой и банковской сфере, а также строительных гигантов.
Какие действия выполняет вирус
Шифровальщик Troldesh имеет несколько имен, так его называют Shade, XTBL, Trojan.Encoder.858. При попадании на компьютер он начинает шифровать данные с помощью сложного 256-битного ключа. После завершения операции он выводит сообщение об этом с требованием выкупа за восстановление информации. Центр управления вирусом располагается в сети Tor с плавающим адресом, поэтому полная его блокировка проблематична.
Как и любой другой запрещенный информационный продукт, Troldesh предлагается на некоторых ресурсах в даркнете. Злоумышленники постоянно модифицируют вирус, добавляют в него новый функционал, меняют способы распространения. Так, последние модификации Troldesh дополнительно умеют майнить криптовалюту, перенаправлять пользователя на определенные веб-сайты.
Последняя атака шифровальщика проводилась в июне 2019 года с арендованной злоумышленниками бот-сети. Преступники обладают значительными финансовыми средствами для аренды подобной инфраструктуры, что вызывает оправданное опасение специалистов о возможных вливаниях криминального капитала в сферу кибермошенничества.
История Troldesh
Первые модификации вируса Troldesh были замечены специалистами Group-IB еще в 2015 г. Тогда создателям зловреда удалось скрывать наличие вируса в зараженной системе от обнаружения путем частой замены программы-упаковщика, используемой для минимизации размера распространяемого файла.
Во второй половине 2018 года вирус Troldesh занимает верхние позиции в ТОПе наиболее активных и опасных шифровальщиков наряду с RTM и Pony, к тоже обзаводится новыми функциями. Аналитики информационной безопасности отмечают, что Troldesh использовался для атаки не только на российские компании, но и был замечен в США, Японии и некоторых других странах.