Шифрует и майнит — новые атаки трояна Troldesh

Пусть эта история начнется так: помешивая ложечкой свой утренний кофе, аналитик CERT-GIB — Центра реагирования на инциденты информационной безопасности Group-IB — снова заметил эту рассылку. На сцене замечен троян-шифровальщик Troldesh также известный под альтернативными названиями Shade, XTBL, Trojan.Encoder.858, Da Vinci, crypted000007, No_more_ransome.

События, вызванные Troldesh, носят массовый характер: новую технику его рассылки с помощью фишинговых писем мы впервые зафиксировали 1 ноября 2018 года (от имени крупного банка), затем в декабре – тоже от банков, а в январе уже от ритейл-игрока. Февраль ознаменовался чехардой из брендов: Troldesh прикидывался всеми подряд.

На пике фишинговой атаки мы видели до 2000 подобных рассылок в сутки и они продолжаются. Недавно мы и сами получили такое письмо (лол).

Что интересного на этот раз?

📍Криптолокер Troldesh в этой кампании не только шифрует. Пока ты копишь деньги на расшифровку, троян майнит изо всех сил, добывая своему хозяину крипту. То есть у него есть функции криптоджекера, что последний раз мы отмечали в октябре. Кроме того, с инфицированного компьютера он рассылает себя дальше.

📍Используется новая техника рассылки. Обычно Troldesh распространяется от имени банков, но здесь его авторы решили «зайти» со стороны довольно обширного списка компаний разных отраслей — ритейл, оптовая торговля, нефтегаз, строительство. Без банков тоже не обошлось, причем были и персональные письма от топ-менеджеров.

📍В отличие от ранних проделок шифровальщика, письма написаны и оформлены грамотно. Обычно так выглядят рассылки банковских троянов.

📍В рассылке задействована довольно масштабная инфраструктура. Тут, как правило, на злоумышленников работает черный рынок, где хакеру проще и дешевле воспользоваться услугами кого-то, кто владеет ботнет-сетью из сотен и тысяч различных подконтрольных ему устройств (неважно каких). Так за небольшую сумму владелец ботнет-сети снимает со своих «клиентов» вопросы, связанные с доставкой вредоносных программ.

Картотека Group-IB

Troldesh – шифровальщик, требующий деньги за расшифровывание файлов. Криптолокер Troldesh зашифровывает файлы на заражённом устройстве и требует у пользователя оплату, чтобы восстановить доступ к информации. В Group-IB сообщили, что Troldesh – самый популярный шифровальщик за последнее время, со следами работы которого команда реагирования Group-IB (Incident Response) сталкивалась, как минимум, в 7 инцидентах в 2018-м году.

Первое появление Troldesh в Group-IB зафиксировали в 2015 году. Это довольно успешный вирус-полиморф, который умеет довольно ловко обходить антивирусные средства защиты. Мы наблюдали за его атаками не раз: в рассылках с разницей в 1-2 дня он регулярно меняет пакер (программа-упаковщик, которая уменьшает размер файла и создает сложности в обнаружении и реверсе), что ставит в тупик антивирусные средства и они пропускают его. Его центр управления размещен в сети Tor и постоянно перемещается, что делает его блокировку непростой задачей.