25/06/19
Атака Troldesh
Российские организации в настоящий момент подвергаются масштабной атаке вируса-шифровальщика Troldesh (Shade). Об этом сообщает CNews, ссылаясь на компанию Group-IB, специализирующаяся на информационной безопасности.
Вирус рассылается жертвам по электронной почте. В июне сотрудникам Group-IB удалось выявить более 1,1 тыс. писем, которые его содержат. Это говорит о новом пике активности вируса. Во втором квартале 2019 г. таких писем было обнаружено более 6 тыс., что, по данным Threat Detection System (TDS), почти в 2,5 раза больше, чем за весь 2018 г.
От кого приходят письма
Вредоносные письма отправляются жертвам от имени авиакомпаний, включая «Полярные авиалинии», автодилеров, в том числе «Рольф», а также от лица СМИ, например, РБК и Новосибирск-online. Также для прикрытия используются компании из сфер ритейла, нефтегаза, строительства и рекрутинга. Group-IB отмечает, что все адреса отправителей фальсифицированы и никак не связаны с реальными компаниями.
В письмах злоумышленники обычно представляются сотрудниками данных компаний. Они просят жертву открыть прикрепленный к письму запароленный архивный файл, якобы содержащий детали «заказа».
Специалисты Group-IB отмечают, что ранее рассылка Troldesh производилась в основном от имени банков, однако на данный момент злоумышленники отошли от этой практики — по-видимому, в связи с усилением мер противодействия фишингу в банках. Теперь если письмо с Troldesh и отсылается от лица банка, то оно замаскировано под персональное письмо от его топ-менеджера.
Что умеет вирус
Troldesh известен под рядом других имен, включая Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Вирус шифрует данные на устройстве жертвы и требует выкуп за восстановление доступа к ним. Центр управления Troldesh находится в сети Tor. Его трудно заблокировать, поскольку он постоянно меняет местоположение. Вероятность заражения от этого растет.
Troldesh можно купить или арендовать на специализированных площадках в даркнете. Функциональность вируса постоянно пополняется новыми возможностями, способы распространения меняются. Судя по последним атакам, Troldesh научился не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на веб-сайты, благодаря чему у них растет посещаемость и выручка от онлайн-рекламы.
В июньской рассылке Troldesh использована арендованная бот-сеть. Для осуществления рассылки необходима довольно масштабная инфраструктура, куда входят серверы и зараженные устройства интернета вещей, такие как роутеры.
История Troldesh
Последняя масштабная атака Troldesh на российские компании наблюдалась в марте 2019 г. Рассылка производилась от лица представителей известных брендов из сферы ритейла, финансов и строительства.
Впервые Troldesh был обнаружен сотрудниками Group-IB в 2015 г. Вирус был примечателен тем, что мог обмануть антивирусы. Такое поведение Troldesh демонстрировал благодаря тому, что злоумышленники периодически меняли «пакер» — программу-упаковщик, предназначенную для уменьшения размера файла.
В конце 2018 г. Troldesh уже входил в тройку самых популярных вирусов-шифровальщиков вместе с RTM и Pony. Исследователи безопасности из PaloAlto Networks отмечали, что вирус используется против организаций не только в России, но и в США, Японии, Индии, Таиланде и Канаде.
