Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ

Эксперты Group-IB зафиксировали новые атаки шифровальщика Troldesh (он же Shade) на российские компании. Теперь злоумышленники отправляют вредоносные письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне 2019 года Group-IB зафиксировала более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вымогателя все ещё активна.

Напомню, что предыдущая крупная кампания Troldesh была в марте этого года: тогд рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.

 

Шифровальщика Troldesh также известнен под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome. Его управляющие серверы размещены в сети Tor и постоянно перемещаются, что осложняет блокировку малвари, повышая вероятность заражения.

Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем постоянно приобретает новую функциональность и меняет способы распространения.

Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на сайты для увеличения посещаемости и доходов от онлайн-рекламы.

Масштаб атак с использованием Troldesh во втором квартале 2019 года стал в 2,5 раза чем за весь 2018 год. На июнь текущего года пришелся новый пик активности шифровальщика. Письма, содержащие Troldesh, теперь отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).

В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть вложение — запароленный архивный файл, в котором якобы содержатся подробности некоего «заказа». Адреса отправителей писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.

«В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров», — объясняет Ярослав Каргалев заместитель руководителя CERT Group-IB.

Информация взята с интернет-портала xakep.ru

2019  Брест РЦИТ   globbersthemes joomla templates
Cheap Jerseys Wholesale Jerseys Cheap Jerseys Wholesale Jerseys Cheap Jerseys Cheap NFL Jerseys Wholesale Jerseys Wholesale Football Jerseys Wholesale Jerseys Wholesale NFL Jerseys Cheap NFL Jerseys Wholesale NFL Jerseys Cheap NHL Jerseys Wholesale NHL Jerseys Cheap NBA Jerseys Wholesale NBA Jerseys Cheap MLB Jerseys Wholesale MLB Jerseys Cheap College Jerseys Cheap NCAA Jerseys Wholesale College Jerseys Wholesale NCAA Jerseys Cheap Soccer Jerseys Wholesale Soccer Jerseys Cheap Soccer Jerseys Wholesale Soccer Jerseys