Компания Group-IB зафиксировала новые масштабные атаки вируса-шифровальщика Troldesh на российские компании. Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний, автодилеров и СМИ, говорится в сообщении Group-IB.

В июне обнаружено более 1,1 тыс. фишинговых писем, содержащих Troldesh, всего же во II квартале 2019 года их количество превысило 6 тыс. На данный момент кампания по рассылке вируса-вымогателя активна.

Troldesh — это вирус, который шифрует файлы на зараженном устройстве пользователя и требует выкуп, чтобы восстановить доступ к информации. Troldesh продается и сдается в аренду на специализированных площадках в даркнете, в связи с чем вирус постоянно приобретает новую функциональность и меняет способы распространения. Сейчас он уже не только шифрует файлы, но еще майнит криптовалюту и генерирует трафик на веб-сайты для увеличения посещаемости и доходов от онлайн-рекламы.

Письма, содержащие Troldesh, отправляются якобы с почтовых ящиков авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») и от СМИ (РБК, Новосибирск-online). В тексте перехваченных писем злоумышленники представляются сотрудниками этих компаний и просят открыть запароленный архивный файл, в котором якобы содержатся подробности «заказа». Адреса отправителей всех писем подделаны и не имеют к реальным компаниям никакого отношения.

Предыдущая масштабная кампания Troldesh была в марте этого года: тогда рассылка шифровальщика Troldesh была также нацелена на российские компании и шла от лица представителей известных брендов: ретейла, финансовых и строительных компаний.