Троян-шифровальщик Тroldesh вновь атакует, как на самом деле он работает

09:08, 03 Июл, 2019
Анна Федорова

На российские компании напал могучий шифровальщик. Как на самом деле работает Тroldesh и почему вновь атакует — читайте в нашем обзоре.

У отечественных компаний начались проблемы. Против российских организаций проводится масштабная кампания по рассылке вируса-шифровальщика Troldesh. Об этом сообщают различные интернет-издания. Известно, что вирус умеет не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на сайты. Предыдущая масштабная кампания Troldesh была в марте этого года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов — ритейла, финансовых и строительных компаний.

От куда идет опасность?

Известно, что в настоящий момент подвергаются масштабной атаке вируса-шифровальщика Troldesh (Shade) многие российские компании. Об этом сообщает компания Group-IB, которая специализируется на информационной безопасности. Раньше вирус рассылался от лица банков, а сейчас — от имени авиакомпаний и СМИ.

Вирус рассылается жертвам по электронной почте. В июне сотрудникам Group-IB удалось выявить более 1,1 тыс. писем, которые его содержат. Это говорит о новом пике активности вируса. Во втором квартале 2019 г. таких писем было обнаружено более 6 тыс., что, по данным Threat Detection System (TDS), почти в 2,5 раза больше, чем за весь 2018 г.

Впервые активность Troldesh эксперты Group-IB зафиксировали еще в 2015 году, они обратили внимание на то, что вирус успешно обходил антивирусные средства защиты. Злоумышленники регулярно меняли “пакер” — программу-упаковщик, которая уменьшает размер файла и создавала сложности в обнаружении и реверсе — из-за этого антивирусные программы часто пропускали его. К концу 2018 году Troldesh стал одним из самых популярных вирусов-шифровальщиков и уверенно вошел в топ-3, наряду с RTM и Pony. Эксперты PaloAlto Networks сообщали, что Troldesh работает не только по российским целям — среди стран, пострадавших от действий вымогателей — США, Япония, Индия, Таиланд и Канада.

Как на самом деле работает троян-шифровальщик

Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome  – это вирус, который шифрует файлы на зараженном устройстве пользователя и требует у выкуп, чтобы восстановить доступ к информации.  Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения.

«В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки, — отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB, – Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиа-отрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров»

Кого атакует Троян и где «живет»?

Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh во втором квартале 2019 почти в 2,5 раза больше, чем за весь 2018-й год.  На июнь пришелся новый пик активности вируса-шифровальщика. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online).
В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть аттач – запароленный архивный файл, в котором якобы содержатся подробности «заказа».  Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. В рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов,  зараженные IoT-устройства, например, роутеры.
Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.
Поделитесь этой новостью
Комментарии (0)

Ваш адрес email не будет опубликован. Обязательные поля помечены *