На российские компании напал могучий шифровальщик

                                                         Атака Troldesh


     Российские организации в настоящий момент подвергаются масштабной атаке вируса-шифровальщика Troldesh (Shade). Об этом сообщает компания Group-IB, специализирующаяся на информационной безопасности.

     Вирус рассылается жертвам по электронной почте. В июне сотрудникам Group-IB удалось выявить более 1,1 тыс. писем, которые его содержат. Это говорит о новом пике активности вируса. Во втором квартале 2019 г. таких писем было обнаружено более 6 тыс., что, по данным Threat Detection System (TDS), почти в 2,5 раза больше, чем за весь 2018 г.

                                                  От кого приходят письма

     Вредоносные письма отправляются жертвам от имени авиакомпаний, включая «Полярные авиалинии», автодилеров, в том числе «Рольф», а также от лица СМИ, например, РБК и Новосибирск-online. Также для прикрытия используются компании из сфер ритейла, нефтегаза, строительства и рекрутинга. Group-IB отмечает, что все адреса отправителей фальсифицированы и никак не связаны с реальными компаниями.

     В письмах злоумышленники обычно представляются сотрудниками данных компаний. Они просят жертву открыть прикрепленный к письму запароленный архивный файл, якобы содержащий детали «заказа».

     Специалисты Group-IB отмечают, что ранее рассылка Troldesh производилась в основном от имени банков, однако на данный момент злоумышленники отошли от этой практики — по-видимому, в связи с усилением мер противодействия фишингу в банках. Теперь если письмо с Troldesh и отсылается от лица банка, то оно замаскировано под персональное письмо от его топ-менеджера.

                                                           Что умеет вирус


     Troldesh известен под рядом других имен, включая Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Вирус шифрует данные на устройстве жертвы и требует выкуп за восстановление доступа к ним. Центр управления Troldesh находится в сети Tor. Его трудно заблокировать, поскольку он постоянно меняет местоположение. Вероятность заражения от этого растет.

                          работа.jpg
             Российские компании попали под атаку известного вируса-шифровальщика

     Troldesh можно купить или арендовать на специализированных площадках в даркнете. Функциональность вируса постоянно пополняется новыми возможностями, способы распространения меняются. Судя по последним атакам, Troldesh научился не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на веб-сайты, благодаря чему у них растет посещаемость и выручка от онлайн-рекламы.

     В июньской рассылке Troldesh использована арендованная бот-сеть. Для осуществления рассылки необходима довольно масштабная инфраструктура, куда входят серверы и зараженные устройства интернета вещей, такие как роутеры.

                                                        История Troldesh

     Последняя масштабная атака Troldesh на российские компании наблюдалась в марте 2019 г. Рассылка производилась от лица представителей известных брендов из сферы ритейла, финансов и строительства.

     Впервые Troldesh был обнаружен сотрудниками Group-IB в 2015 г. Вирус был примечателен тем, что мог обмануть антивирусы. Такое поведение Troldesh демонстрировал благодаря тому, что злоумышленники периодически меняли «пакер» — программу-упаковщик, предназначенную для уменьшения размера файла.

     В конце 2018 г. Troldesh уже входил в тройку самых популярных вирусов-шифровальщиков вместе с RTM и Pony. Исследователи безопасности из PaloAlto Networks отмечали, что вирус используется против организаций не только в России, но и в США, Японии, Индии, Таиланде и Канаде.

                                        Атаки знаменитых шифровальщиков


     Напомним, активность вирусов-шифровальщиков была чрезвычайно высока в 2017 г. В середине мая разразилась настоящая эпидемия вируса WannaCry, который требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были отмечены в России: он поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.

     В июне 2017 г. началась эпидемия нового вируса-вымогателя — Petya. В России вирусом были атакованы нефтяные компании «Роснефть» и принадлежащая ей «Башнефть». О проблемах из-за вируса сообщали представительства компаний Mondelez (производит шоколад Alpen Gold и Milka) и Mars, а также ХКФ-банк.
Другие новости и проекты
Новости импортозамещения
Зарубежные серверы планомерно замещаются российскими на базе процессоров Эльбрус
В России заработал первый прототип квантового компьютера
В России создан и успешно протестирован прототип первого отечественного квантового компьютера. Над ним работали специалисты НИТУ «МИСиС» и МГТУ им. Баумана, и в нем используются кубиты из сверхпроводящих материалов. Их применение обусловило ряд преимуществ российского квантового компьютера над аналогами на базе с кубитами на отдельных атомах и ионах.
Сотовые операторы могут получить бесплатные частоты в обмен на покупку российского сетевого 5G оборудования
Дочернее предприятие госкорпорации «Ростех», «Национальный центр информатизации», разработало проект дорожной карты развития технологий беспроводной связи в России. Этот проект готовится в рамках реализации федерального проекта «Цифровые технологии» национальной программы «Цифровая экономика».
Смотреть все