«Troldesh – самый распространенный шифровальщик, с которым сталкивается Group-IB за последние несколько лет. Основная задача Troldesh – зашифровать данные на компьютере и требовать выкуп за их расшифровку. Troldesh продается и сдается в аренду, в связи с чем вирус постоянно приобретает новую функциональность. Теперь он не только шифрует файлы, но также майнит криптовалюту, генерирует трафик на сайты для увеличения доходов от рекламы», – цитирует РИА «Новости» текст исследования, подготовленного к SOC-Forum 2019 и основанном на данных, полученных системой Threat Detection System (TDS) Polygon в рамках предотвращения и обнаружения угроз, распространяющихся в сети в 60 странах мира.
В исследовании утверждается, что основным способом доставки вредоносных программ по-прежнему остается электронная почта. Для обхода корпоративных средств защиты злоумышленники все чаще прибегают к архивации вредоносных вложений, а чтобы обойти антивирусные системы, хакеры отправляют вредоносные ссылки в нерабочее время с отложенной активацией. Для того же чтобы получатель открыл письмо или распаковал архив, киберпреступники используют методы социальной инженерии.
«На протяжении первых шести месяцев 2019 года в архивах доставлялось более 80% всех вредоносных объектов, в основном для этого использовались форматы zip (32%) и rar 25%). Сам пароль для расшифровки содержимого злоумышленники указывали в письме с вредоносным вложением, в теме письма или в названии архива либо в ходе дальнейшей переписки с жертвой», – говорится в документе.
Злоумышленники также все чаще используют ссылки в письмах, ведущие на загрузку вредоносных объектов, вместо уже традиционных вложений: 29% приходится на ссылки, 71% на вложения. В первой половине 2019 года наблюдается десятикратный рост использования запароленных объектов – документов или архивов.
В подавляющем большинстве случаев атакующие используют бухгалтерскую тематику для привлечения особого внимания к своим вредоносным рассылкам. В атаках же на международные организации наиболее часто встречающимися заголовками стали Payment, Scan, Voice Message, New Order, Invoice и так далее.
Напомним, 8 ноября специализирующаяся на предотвращении кибератак компания Group-IB обнародовала свою базу данных «отпечатков» хакерской активности, по которой компании смогут проводить внутренние расследования и усиливать свою защиту.