24.06.2019 Новости, БезопасностьGroup-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh (Shade) на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ. Только в июне Group-IB обнаружила более 1100 фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их количество превысило 6 000. На данный момент кампания по рассылке вируса-вымогателя активна. Troldesh, также известный под именами Shade, XTBL, Trojan.Encoder.858, Da Vinci, No_more_ransome — это вирус, который шифрует файлы на зараженном устройстве пользователя и требует у выкуп, чтобы восстановить доступ к информации. Его центр управления размещен в сети Tor и постоянно перемещается, что осложняет его блокировку, повышая вероятность заражения. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Последние кампании с Troldesh показали, что теперь он не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы. Согласно данным Threat Detection System (TDS), масштаб атак с использованием Troldesh во втором квартале 2019 почти в 2,5 раза больше, чем за весь 2018-й год. На июнь пришелся новый пик активности вируса-шифровальщика. Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии» ...
читать далее.