Компания Group-IB, занимающаяся расследованием и предотвращением киберпреступлений, зафиксировала новый всплеск активности вируса-шифровальщика Troldesh (Shade) в российских компаниях.

В июне киберпреступники, маскирующиеся под сотрудников крупных авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и СМИ (РБК, Новосибирск-online), отправили более 1100 заражённых фишинговых писем, всего же во втором квартале 2019 года их количество превысило 6 тысяч. На данный момент кампания по рассылке вируса-вымогателя активна.

В тексте перехваченных писем злоумышленники просят открыть аттач — запароленный архивный файл, в котором якобы содержатся подробности «заказа». Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения. Как пояснили специалисты, в рассылке задействована довольно масштабная инфраструктура, включающая, помимо серверов, зараженные IoT-устройства, например, роутеры.

В июньской кампании Troldesh традиционно использована арендованная бот-сеть, однако с начала года киберпреступники используют новую технику рассылки. Если раньше Troldesh распространялся от имени банков, то с конца прошлого года его операторы всё чаще представляются сотрудниками компаний разных отраслей — ретейла, нефтегаза, строительства, авиаотрасли, сферы рекрутинга и медиа, — заявил заместитель руководителя CERT-GIB Ярослав Каргалев.

Эксперт указал в качестве причины повышенные меры безопасности в финансовых организациях, принятых для противодействия фишинговым письмам. Рассылка от имени банков также продолжается, но, по словам Каргалева, теперь в виде персональных писем от топ-менеджеров.

Troldesh — это вирус, который шифрует файлы на заражённом устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh распространяется через специализированные площадки в Даркнете, в связи с чем вирус постоянно приобретает новую функциональность. Например, Troldesh научился не только шифровать файлы, но и майнить криптовалюту и генерировать трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

В начале июня News.ru сообщил, что Group-IB опубликовала результаты итоговой проверки голосования на шоу «Голос. Дети», в которых подтверждается незаконная накрутка голосов в пользу дочери Алсу Микеллы Абрамовой.