На российские компании напал могучий шифровальщик
Атака Troldesh
Российские организации в настоящий момент подвергаются масштабной атаке вируса-шифровальщика Troldesh (Shade). Об этом сообщает компания Group-IB, специализирующаяся на информационной безопасности.
Вирус рассылается жертвам по электронной почте. В июне сотрудникам Group-IB удалось выявить более 1,1 тыс. писем, которые его содержат. Это говорит о новом пике активности вируса. Во втором квартале 2019 г. таких писем было обнаружено более 6 тыс., что, по данным Threat Detection System (TDS), почти в 2,5 раза больше, чем за весь 2018 г.
От кого приходят письма
Вредоносные письма отправляются жертвам от имени авиакомпаний, включая «Полярные авиалинии», автодилеров, в том числе «Рольф», а также от лица СМИ, например, РБК и Новосибирск-online. Также для прикрытия используются компании из сфер ритейла, нефтегаза, строительства и рекрутинга. Group-IB отмечает, что все адреса отправителей фальсифицированы и никак не связаны с реальными компаниями.
В письмах злоумышленники обычно представляются сотрудниками данных компаний. Они просят жертву открыть прикрепленный к письму запароленный архивный файл, якобы содержащий детали «заказа».
Специалисты Group-IB отмечают, что ранее рассылка Troldesh производилась в основном от имени банков, однако на данный момент злоумышленники отошли от этой практики — по-видимому, в связи с усилением мер противодействия фишингу в банках. Теперь если письмо с Troldesh и отсылается от лица банка, то оно замаскировано под персональное письмо от его топ-менеджера.
Что умеет вирус
Troldesh известен под рядом других имен, включая Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Вирус шифрует данные на устройстве жертвы и требует выкуп за восстановление доступа к ним. Центр управления Troldesh находится в сети Tor. Его трудно заблокировать, поскольку он постоянно меняет местоположение. Вероятность заражения от этого растет.
Российские компании попали под атаку известного вируса-шифровальщика
Troldesh можно купить или арендовать на специализированных площадках в даркнете. Функциональность вируса постоянно пополняется новыми возможностями, способы распространения меняются. Судя по последним атакам, Troldesh научился не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на веб-сайты, благодаря чему у них растет посещаемость и выручка от онлайн-рекламы.
В июньской рассылке Troldesh использована арендованная бот-сеть. Для осуществления рассылки необходима довольно масштабная инфраструктура, куда входят серверы и зараженные устройства интернета вещей, такие как роутеры.
История Troldesh
Последняя масштабная атака Troldesh на российские компании наблюдалась в марте 2019 г. Рассылка производилась от лица представителей известных брендов из сферы ритейла, финансов и строительства.
Впервые Troldesh был обнаружен сотрудниками Group-IB в 2015 г. Вирус был примечателен тем, что мог обмануть антивирусы. Такое поведение Troldesh демонстрировал благодаря тому, что злоумышленники периодически меняли «пакер» — программу-упаковщик, предназначенную для уменьшения размера файла.
В конце 2018 г. Troldesh уже входил в тройку самых популярных вирусов-шифровальщиков вместе с RTM и Pony. Исследователи безопасности из PaloAlto Networks отмечали, что вирус используется против организаций не только в России, но и в США, Японии, Индии, Таиланде и Канаде.
Атаки знаменитых шифровальщиков
Напомним, активность вирусов-шифровальщиков была чрезвычайно высока в 2017 г. В середине мая разразилась настоящая эпидемия вируса WannaCry, который требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были отмечены в России: он поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.
В июне 2017 г. началась эпидемия нового вируса-вымогателя — Petya. В России вирусом были атакованы нефтяные компании «Роснефть» и принадлежащая ей «Башнефть». О проблемах из-за вируса сообщали представительства компаний Mondelez (производит шоколад Alpen Gold и Milka) и Mars, а также ХКФ-банк.
Российские организации в настоящий момент подвергаются масштабной атаке вируса-шифровальщика Troldesh (Shade). Об этом сообщает компания Group-IB, специализирующаяся на информационной безопасности.
Вирус рассылается жертвам по электронной почте. В июне сотрудникам Group-IB удалось выявить более 1,1 тыс. писем, которые его содержат. Это говорит о новом пике активности вируса. Во втором квартале 2019 г. таких писем было обнаружено более 6 тыс., что, по данным Threat Detection System (TDS), почти в 2,5 раза больше, чем за весь 2018 г.
От кого приходят письма
Вредоносные письма отправляются жертвам от имени авиакомпаний, включая «Полярные авиалинии», автодилеров, в том числе «Рольф», а также от лица СМИ, например, РБК и Новосибирск-online. Также для прикрытия используются компании из сфер ритейла, нефтегаза, строительства и рекрутинга. Group-IB отмечает, что все адреса отправителей фальсифицированы и никак не связаны с реальными компаниями.
В письмах злоумышленники обычно представляются сотрудниками данных компаний. Они просят жертву открыть прикрепленный к письму запароленный архивный файл, якобы содержащий детали «заказа».
Специалисты Group-IB отмечают, что ранее рассылка Troldesh производилась в основном от имени банков, однако на данный момент злоумышленники отошли от этой практики — по-видимому, в связи с усилением мер противодействия фишингу в банках. Теперь если письмо с Troldesh и отсылается от лица банка, то оно замаскировано под персональное письмо от его топ-менеджера.
Что умеет вирус
Troldesh известен под рядом других имен, включая Shade, XTBL, Trojan.Encoder.858, Da Vinci и No_more_ransome. Вирус шифрует данные на устройстве жертвы и требует выкуп за восстановление доступа к ним. Центр управления Troldesh находится в сети Tor. Его трудно заблокировать, поскольку он постоянно меняет местоположение. Вероятность заражения от этого растет.
Российские компании попали под атаку известного вируса-шифровальщика
Troldesh можно купить или арендовать на специализированных площадках в даркнете. Функциональность вируса постоянно пополняется новыми возможностями, способы распространения меняются. Судя по последним атакам, Troldesh научился не только шифровать файлы, но также майнить криптовалюту и генерировать трафик на веб-сайты, благодаря чему у них растет посещаемость и выручка от онлайн-рекламы.
В июньской рассылке Troldesh использована арендованная бот-сеть. Для осуществления рассылки необходима довольно масштабная инфраструктура, куда входят серверы и зараженные устройства интернета вещей, такие как роутеры.
История Troldesh
Последняя масштабная атака Troldesh на российские компании наблюдалась в марте 2019 г. Рассылка производилась от лица представителей известных брендов из сферы ритейла, финансов и строительства.
Впервые Troldesh был обнаружен сотрудниками Group-IB в 2015 г. Вирус был примечателен тем, что мог обмануть антивирусы. Такое поведение Troldesh демонстрировал благодаря тому, что злоумышленники периодически меняли «пакер» — программу-упаковщик, предназначенную для уменьшения размера файла.
В конце 2018 г. Troldesh уже входил в тройку самых популярных вирусов-шифровальщиков вместе с RTM и Pony. Исследователи безопасности из PaloAlto Networks отмечали, что вирус используется против организаций не только в России, но и в США, Японии, Индии, Таиланде и Канаде.
Атаки знаменитых шифровальщиков
Напомним, активность вирусов-шифровальщиков была чрезвычайно высока в 2017 г. В середине мая разразилась настоящая эпидемия вируса WannaCry, который требовал выкуп за расшифровку информации в биткойнах. Вирус действовал по всему миру, но наибольшие последствия от его деятельности были отмечены в России: он поразил компьютеры МВД, Следственного комитета, Минздрава, МЧС, «Мегафона», Yota и других организаций.
В июне 2017 г. началась эпидемия нового вируса-вымогателя — Petya. В России вирусом были атакованы нефтяные компании «Роснефть» и принадлежащая ей «Башнефть». О проблемах из-за вируса сообщали представительства компаний Mondelez (производит шоколад Alpen Gold и Milka) и Mars, а также ХКФ-банк.
Другие новости и проекты
Проект по обновлению системы для ОАО "ТКЗ "Красный котельщик"
Проект по обновлению коммуникационной системы для ОАО "ТКЗ "Красный котельщик".
Российских врачей избавили от бумажных документов
Министерство здравоохранения России утвердило правила ведения электронного документооборота в медицинских организациях. С 1 февраля 2021 г. медучреждения смогут отказаться от дублирования документов на бумаге. Из финального варианта нормативного акта, одобренного Минздравом, исчезло упоминание о возможности для пациентов получения доступа к медицинским записям и медкартам через портал госуслуг.
Проект в Московской школе управления Сколково
Проект по миграции корпоративной почтовой системы в Московской школе управления Сколково.