Российские компании под прицелом нового вируса-шифровальщик

Злоумышленники начали масштабную атаку на российские компании с помощью нового вируса-шифровальщика Troldesh. В отличие от своих аналогичных модификаций, которые шифровали информацию на дисках и требовали выкуп, он способен скрытно майнить и посещать определенные сайты.

Атака Troldesh

Специалисты по информационной безопасности компании Group-IB сообщили о начавшейся атаке нового вируса-шифровальщика Troldesh (Shade).

Распространение вируса происходит путем рассылки инфицированных писем. За несколько дней было обнаружено более 1000 электронных сообщений с данным зловредом, что свидетельствует о резком росте активности злоумышленников. В целом в I квартале 2019 зафиксировано порядка 6 тыс. таких писем.

Кто рассылает вредоносные сообщения

Кибермошенники отправляют зараженные письма от лица реально существующих компаний, известных СМИ, авиаперевозчиков, автосалонов. Иногда злоумышленники прикрываются компаниями из нефтегазового сектора, сферы недвижимости и рекрутинга. На самом деле используемые адреса отправителей никоим образом не связаны с существующими компаниями.

Сфальсифицированное электронное сообщение содержит вступительный текст якобы от сотрудника компании и приложенный архив с паролем, который, по словам отправителя, содержит важную информацию. Часто используется «легенда» о заказе товаров и услуг с высылкой накладной либо иных подтверждающих документов.

Предыдущий пик распространения вируса Troldesh был замечен в марте 2019 года. Тогда атака на российские компании проводилась от имени сотрудников известных компаний, работающих в финансовой и банковской сфере, а также строительных гигантов.

Какие действия выполняет вирус

Шифровальщик Troldesh имеет несколько имен, так его называют Shade, XTBL, Trojan.Encoder.858. При попадании на компьютер он начинает шифровать данные с помощью сложного 256-битного ключа. После завершения операции он выводит сообщение об этом с требованием выкупа за восстановление информации. Центр управления вирусом располагается в сети Tor с плавающим адресом, поэтому полная его блокировка проблематична.

Как и любой другой запрещенный информационный продукт, Troldesh предлагается на некоторых ресурсах в даркнете. Злоумышленники постоянно модифицируют вирус, добавляют в него новый функционал, меняют способы распространения. Так, последние модификации Troldesh дополнительно умеют майнить криптовалюту, перенаправлять пользователя на определенные веб-сайты.

Последняя атака шифровальщика проводилась в июне 2019 года с арендованной злоумышленниками бот-сети. Преступники обладают значительными финансовыми средствами для аренды подобной инфраструктуры, что вызывает оправданное опасение специалистов о возможных вливаниях криминального капитала в сферу кибермошенничества.  

История Troldesh

Первые модификации вируса Troldesh были замечены специалистами Group-IB еще в 2015 г. Тогда создателям зловреда удалось скрывать наличие вируса в зараженной системе от обнаружения путем частой замены программы-упаковщика, используемой для минимизации размера распространяемого файла.

Во второй половине 2018 года вирус Troldesh занимает верхние позиции в ТОПе наиболее активных и опасных шифровальщиков наряду с RTM и Pony, к тоже обзаводится новыми функциями. Аналитики информационной безопасности отмечают, что Troldesh использовался для атаки не только на российские компании, но и был замечен в США, Японии и некоторых других странах.

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.