Эксперты международной компании Group-IB зафиксировали масштабные атаки вируса-вымогателя Troldesh, который маскируется под письма российских компаний и СМИ. Troldesh — это вирус, шифрующий файлы на зараженном устройстве пользователя и требующий выкуп для восстановления доступа к информации.
В марте состоялась последняя до этого момента крупная кампания Troldesh: тогда злоумышленники маскировали вредоносные письма под сообщения от ретейлеров, финансовых и строительных компаний. Мошенники представляются сотрудниками компаний и просят открыть запароленный архивный файл с подробностями «заказа». Электронные адреса отправителей всех писем подделаны.
Раньше вирус распространяли от имени банков, но конца 2018 года его операторы все чаще представляются работниками компаний ретейла, нефтегаза, строительства, авиационной отрасли, медиа и сферы рекрутинга. Эксперты связывают изменения с тем, что в финансовых организациях приняли повышенные меры безопасности для противодействия фишинговым письмам.
В июне специалисты компании обнаружили 1,1 тыс. фишинговых писем, содержащих Troldesh, всего же во втором квартале 2019 года их число превысило 6 тыс.