Зараженные письма идут от имени авиакомпаний, автодилеров и СМИ
24 июнь 2019 20:40 #82951
от ICT
ICT создал тему: Зараженные письма идут от имени авиакомпаний, автодилеров и СМИ
Group-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вируса-вымогателя активна. Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome – это вирус, который шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы. Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh во втором квартале 2019 почти в 2,5 раза больше, чем за весь 2018-й год. На июнь пришелся новый пик активности вируса-шифровальщика. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, "Полярные авиалинии"), автодилеров ("Рольф") и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть аттач – запароленный архивный файл, в котором якобы содержатся подробности "заказа". Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры. "В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки, — отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB, – Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиа-отрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров" Впервые активность Troldesh эксперты Group-IB зафиксировали еще в 2015 году, они обратили внимание на то, что вирус успешно обходил антивирусные средства защиты. Злоумышленники регулярно меняли "пакер" — программу-упаковщик, которая уменьшает размер файла и создавала сложности в обнаружении и реверсе — из-за этого антивирусные программы часто пропускали его. К концу 2018 году Troldesh стал одним из самых популярных вирусов-шифровальщиков и уверенно вошел в топ-3, наряду с RTM и Pony. Эксперты PaloAlto Networks сообщали, что Troldesh работает не только по российским целям — среди стран, пострадавших от действий вымогателей — США, Япония, Индия, Таиланд и Канада. Напомним, предыдущая масштабная кампания Troldesh была в марте этого года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Хакеры атаковали десятки российских банков, разослав зараженные письма от имени ЦБ | 22.74 | Среда, 16 марта 2016 |
В СМИ рассылались поддельные письма от имени Роскомнадзора | 14.81 | Понедельник, 05 февраля 2018 |
От имени Роскомнадзора рассылают фальшивые письма о проведении проверок | 14.49 | Вторник, 21 февраля 2017 |
Хакеры пишут банкам письма от имени регуляторов и атакуют их через контрагентов | 14.19 | Вторник, 01 августа 2017 |
"Тинькофф" запустил ИТ-платформу для автодилеров | 10.46 | Четверг, 11 августа 2022 |
Amadeus запустила решение по организации трансфера для авиакомпаний | 8.93 | Пятница, 26 декабря 2014 |
Заражённые сайты госкомпаний РФ использовались для майнинга | 8.92 | Вторник, 17 декабря 2019 |
Зараженные коммутаторы Cisco обнаружились в России, США и Китае | 8.82 | Понедельник, 21 сентября 2015 |
USB Thief крадет данные через зараженные USB-носители | 8.82 | Среда, 23 марта 2016 |
Обменным курсом: для авиакомпаний РФ создан сервис связи "борт–земля" | 8.75 | Пятница, 28 июля 2023 |