Специалисты по кибербезопасности компании Group IB сообщили о резком росте активности вируса-шифровальщика Troldesh в июне 2019 года. Эксперты отмечают значительную долю российских организаций среди жертв вируса.
Центр Troldesh находится в сети Tor и постоянно перемещается, из-за чего его трудно заблокировать. Кроме того, это ПО продается в даркнете или сдается в аренду, благодаря чему Troldesh постоянно получает новую функциональность. По последним данным, вирус уже не просто шифрует данные компьютера, а майнит криптовалюты и генерирует трафик на сайты ради доходов от интернет-рекламы.
По информации Group IB, за июнь 2019 им удалось обнаружить более 1100 фишинговых писем, через которые распространялся Troldesh. За последний квартал было выявлено свыше 6000 подобных писем. Остановить распространение шифровальщика пока не удалось.
Масштаб атак с использованием Troldesh во втором квартале 2019 года почти в 2,5 раза превысил уровень 2018 года. Пик активности вируса наступил в июне и к концу этого месяца не пошел на спад, а продолжает плавно идти вверх.
Письма с Troldesh отправляются с поддельных почтовых ящиков. Злоумышленники выдают себя за сотрудников авиакомпаний (например, «Полярные авиалинии»), автодилеров («Рольф») или СМИ вроде РБК и просят открыть файл-приложение . В рассылке задействована масштабная инфраструктура, включающая в себя в том числе подключенные к интернету периферийные устройства.
Впервые активность программы зафиксировали в 2015 году. Тогда она спокойно обходила антивирусные средства защиты, так как взломщики постоянно усложняли обнаружение вируса.
К концу 2018 года Troldesh стал одним из самых популярных вирусов-шифровальщиков наряду с RTM и Pony. Отмечается, что Troldesh также нацеливается на компьютеры пользователей из США, Японии, Индии, Таиланда и Канады.