Эксперты предупредили о масштабной атаке вируса-вымогателя на российские компании

Злоумышленники маскируют вредоносные сообщения под письма компаний и СМИ

Эксперты международной компании Group-IB, специализирующейся на предотвращении кибератак, зафиксировали масштабные атаки вируса-вымогателя Troldesh, который маскируется под письма российских компаний и СМИ. Об этом говорится в сообщении Group-IB.

Как пояснили в компании, Troldesh - это вирус, шифрующий файлы на зараженном устройстве пользователя и требующий выкуп для восстановления доступа к информации. Предыдущая масштабная кампания Troldesh была в марте 2019 года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании, злоумышленники маскировали вредоносные письма под сообщения от ретейлеров, финансовых и строительных компаний.

Как уточняют эксперты, содержащие Troldesh письма отправляются якобы с почтовых ящиков автодилеров, авиакомпаний и от СМИ. Злоумышленники представляются сотрудниками компаний и просят открыть запароленный архивный файл, который якобы содержит подробности "заказа". Специалисты подчеркивают, что адреса отправителей всех писем не имеют к реальным компаниям никакого отношения и подделаны.

В Group-IB указали, что в июне было обнаружено более 1,1 тыс. фишинговых писем, содержащих Troldesh, всего же во II квартале 2019 года их число превысило 6 тыс. Согласно данным компании, во втором квартале масштаб атак с использованием Troldesh превысил почти в 2,5 раза уровень всего 2018 года, причем новый пик активности вируса-шифровальщика пришелся на июнь.

По словам заместителя руководителя Центра реагирования CERT-GIB Ярослава Каргалева, если раньше Troldesh распространяли от имени банков, то с конца 2018 года его операторы все чаще представляются работниками компаний разных отраслей - ретейла, нефтегаза, строительства, авиационной отрасли, медиа и сферы рекрутинга. Он связывает это с тем, что в финансовых организациях приняли повышенные меры безопасности для противодействия фишинговым письмам. При этом Каргалев добавил, что рассылка от имени банков сейчас тоже используется, однако теперь в форме персональных писем от топ-менеджеров.

Специалисты Group-IB также подчеркнули, что в рассылке вируса задействована довольно масштабная инфраструктура, которая включает, помимо серверов, зараженные IoT-устройства (Internet of Things, интернет вещей), например, роутеры, причем сейчас кампания по рассылке вируса-вымогателя активна.