Стало известно, что компания Group-IB выявила новые масштабные атаки вируса-шифровальщика Troldesh на компании из России. Мошенники отправляют письма от имени работников крупных авиакомпаний, автодилеров и СМИ, указывается в сообщении Group-IB.
Таким образом, в июне было выявлено свыше 1,1 тыс. фишинговых писем, которые содержат Troldesh, в совокупности во II квартале текущего года их число стало больше 6 тыс. Кампания по рассылке вируса-вымогателя на сегодняшний день остается активной.
Стоит отметить, что Troldesh является вирусом, шифрующим файлы на зараженном устройстве пользователя и требует выкуп для восстановления доступа к данным. Интересно, что Troldesh продается и сдается в аренду на специализированных площадках в даркнете, по этой причине у вируса постоянно появляется новая функциональность и меняются методы распространения. На данный момент он уже не только шифрует файлы, но еще майнит криптовалюту, а также генерирует трафик на веб-сайты для повышения посещаемости и доходов от онлайн-рекламы.
Так, письма, которые содержат Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (к примеру, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). Мошенники в тексте перехваченных писем представляются работниками данных компаний и просят открыть запароленный архивный файл, в котором якобы находятся подробности «заказа». На самом деле адреса отправителей всех писем являются поддельными и не имеют к настоящим компаниям никакого отношения.
Напомним, что последняя крупная кампания Troldesh произошла в марте 2019 года: в то время рассылка шифровальщика Troldesh была тоже нацелена на российские компании и шла от лица представителей популярных брендов: ретейла, финансовых и строительных организаций.
