В России снова усилились кибератаки с применением вируса-шифровальщика Troldesh, также известного как Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Об этом говорится в пресс-релизе Group-IB, поступившем в «Газету.Ru».
Зловред распространяется с помощью зараженных фишинговых писем, отправленных от лица крупных брендов, включающих в себя авиакомпании, автодилеров и даже СМИ. Сообщается, что только в июне было зафиксировано свыше 1100 сообщений, содержавших в себе Troldesh. Если считать данные за весь второй квартал 2019 года, то эта цифра превышает 6 тыс.
«На данный момент кампания по рассылке вируса-вымогателя активна», — сообщает Group-IB.
Заражение происходит следующим образом — жертва получает письмо от сотрудника крупной компании, который просит открыть документы, находящиеся в архиве. После распаковки архива и запуска файла Troldesh шифрует документы пользователя и требует денежный выкуп за восстановление информации.
Эксперты по информационной безопасности отмечают, что остановить распространение вируса довольно сложно, так как центр управления находится в сети Tor и постоянно перемещается. Кроме того, Troldesh активно торгуется на черных рынках даркнета, из-за чего появляется большое количество его модификаций, что затрудняет его обнаружение и нейтрализацию.
Некоторые версии Troldesh не только шифруют файлы, но еще и майнят криптовалюту, а также генерируют фейковый трафик на веб-сайты, создавая сразу несколько источников дохода для злоумышленников.
В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки, отмечает Ярослав Каргалев, заместитель руководителя CERT-GIB.
«Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы все чаще представляются сотрудниками компаний разных отраслей — ритейла, нефтегаза, строительства, авиа-отрасли, сферы рекрутинга и медиа. Вероятнее всего, это связано с повышенными мерами безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Впрочем, рассылка от имени банков тоже используется, однако теперь в виде персональных писем от топ-менеджеров», — пояснил Каргалев.
Сообщается, что впервые Troldesh был замечен еще четыре года назад, а уже к концу 2018 года вирус стал одним из самых популярных шифровальщиков, войдя в топ-3. Кроме того, зловред нацелен не только на Россию — от его действий также пострадали жители США, Канады, Японии, Индии и Таиланда.
Как рассказал «Газете.Ru» Ярослав Каргалев, специалисты Group-IB зашифровали компьютер с помощью Troldesh, получили свой идентификатор для отправки выкупа, направили заявку на расшифровку, но ответа пока не получили.
Вирусы-шифровальщики, требующие выкуп за дешифровку являются популярным оружием хакеров по всему миру, так как они провоцируют пользователей заплатить, чтобы спасти свои документы. Впрочем, эксперты Group-IB предостерегают от этого шага, так как нет никаких гарантий того, что файлы будут восстановлены, а перечисленные деньги пойдут на финансирование киберпреступности.
В июне 2019 года власти Ривьера-Бич, что во Флориде, заплатили хакерам $600 тыс. за разблокировку компьютеров и восстановление IT-инфраструктуры города.
Сообщается, что муниципалитет пытался избавиться от последствий вируса собственными силами, но потерпел неудачу и решил, что выкуп станет единственным возможным решением, чтобы спасти системы.
К сожалению, это не единственный подобный случай. Весной текущего года власти округа Джексон в штате Джорджия заплатили хакерам $400 тыс., став жертвами атаки вируса-шифровальщика Ryuk. Этот кибервзлом затронул все компьютерные системы местных органов власти, вынудив чиновников временно перейти на ручку и бумагу.
К вирусам-шифровальщикам, вымогающим выкуп у пользователей, относятся BadRabbit, а также печально известный WannaCry, парализовавший работу компаний по всему миру. От последствий вируса в 2017 году пострадали свыше 100 государств.
Фишинг-атаки остаются успешным инструментом, так как киберпреступники получают все больший доступ к ранее украденным личным данным, рассказал «Газете.Ru» глава представительства Avast в России и СНГ Алексей Федоров.
«Эту информацию можно использовать для создания сложных методов социальной инженерии, чтобы войти в доверие к жертве. Злоумышленники могут отследить контекстный поиск пользователя, используемые приложения и предпочтения, стиль общения в социальных сетях — вся эта информация поможет создавать персонализированные фишинговые сообщения.
Кроме того, как в случае с активностью программы-вымогателя Troldesh, злоумышленники активно эксплуатируют популярные бренды и сервисы, чтобы создать практически неотличимые фишинговые письма и заставить пользователя перейти по ссылке.
Поэтому мы советуем открывать сайт напрямую в браузере, а не переходить по ссылке. Или же позвонить по номеру телефона, указанному на сайте, чтобы уточнить условия акции или иную информацию», — рекомендует собеседник «Газеты.Ru».