Категория > Новости > Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»

Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»


25-06-2019, 12:01. Автор: Валерий
");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});
Рекомендуем почитать:
Troldesh рассылает письма от имени авиакомпаний, автодилеров и СМИ - «Новости»

Xakep #243. Лови сигнал

  • Содержание выпуска

  • Подписка на «Хакер»

Эксперты Group-IB зафиксировали новые атаки шифровальщика Troldesh (он же Shade) на российские компании. Теперь злоумышленники отправляют вредоносные письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне 2019 года Group-IB зафиксировала более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вымогателя все ещё активна.


Напомню, что предыдущая крупная кампания Troldesh была в марте этого года: тогд рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.


Шифровальщика Troldesh также известнен под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome. Его управляющие серверы размещены в сети Tor и постоянно перемещаются, что осложняет блокировку малвари, повышая вероятность заражения.


Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем постоянно приобретает новую функциональность и меняет способы распространения.


Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще маинит криптовалюту и генерирует трафик на сайты для увеличения посещаемости и доходов от онлайн-рекламы.


Масштаб атак с использованием Troldesh во втором квартале 2019 года стал в 2,5 раза чем за весь 2018 год. На июнь текущего года пришелся новый пик активности шифровальщика. Письма, содержащие Troldesh, теперь отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).


В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть вложение — запароленный архивный файл, в котором якобы содержатся подробности некоего «заказа». Адреса отправителей писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.


«В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров», — объясняет Ярослав Каргалев заместитель руководителя CERT Group-IB.



Источник новостиgoogle.com
Перейти обратно к новости