Зараженные письма идут от имени авиакомпаний, автодилеров и СМИ

24 июнь 2019 20:40 #82951 от ICT
Group-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вируса-вымогателя активна. Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome  – это вирус, который шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации.  Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.  Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh во втором квартале 2019 почти в 2,5 раза больше, чем за весь 2018-й год.  На июнь пришелся новый пик активности вируса-шифровальщика. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, "Полярные авиалинии"), автодилеров ("Рольф") и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть аттач – запароленный архивный файл, в котором якобы содержатся подробности "заказа".  Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов,  зараженные IoT-устройства, например, роутеры.  "В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки, — отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB, – Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиа-отрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров" Впервые активность Troldesh эксперты Group-IB зафиксировали еще в 2015 году, они обратили внимание на то, что вирус успешно обходил антивирусные средства защиты. Злоумышленники регулярно меняли "пакер" — программу-упаковщик, которая уменьшает размер файла и создавала сложности в обнаружении и реверсе — из-за этого антивирусные программы часто пропускали его. К концу 2018 году Troldesh стал одним из самых популярных вирусов-шифровальщиков и уверенно вошел в топ-3, наряду с RTM и Pony. Эксперты PaloAlto Networks сообщали, что Troldesh работает не только по российским целям — среди стран, пострадавших от действий вымогателей — США, Япония, Индия, Таиланд и Канада.    Напомним, предыдущая масштабная кампания Troldesh была в марте этого года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Хакеры атаковали десятки российских банков, разослав зараженные письма от имени ЦБ22.74Среда, 16 марта 2016
    В СМИ рассылались поддельные письма от имени Роскомнадзора14.81Понедельник, 05 февраля 2018
    От имени Роскомнадзора рассылают фальшивые письма о проведении проверок14.49Вторник, 21 февраля 2017
    Хакеры пишут банкам письма от имени регуляторов и атакуют их через контрагентов14.19Вторник, 01 августа 2017
    "Тинькофф" запустил ИТ-платформу для автодилеров10.46Четверг, 11 августа 2022
    Amadeus запустила решение по организации трансфера для авиакомпаний8.93Пятница, 26 декабря 2014
    Заражённые сайты госкомпаний РФ использовались для майнинга8.92Вторник, 17 декабря 2019
    Зараженные коммутаторы Cisco обнаружились в России, США и Китае8.82Понедельник, 21 сентября 2015
    USB Thief крадет данные через зараженные USB-носители8.82Среда, 23 марта 2016
    Обменным курсом: для авиакомпаний РФ создан сервис связи "борт–земля"8.75Пятница, 28 июля 2023

    Мы в соц. сетях