Шифровальщик Shade атакует российские компании от лица Рольф и РБК

Олег Иванов 24 Июня 2019 - 16:31

Малый и средний бизнес

...

Российские компании столкнулись с новой волной атак знаменитой программы-шифровальщика Shade (также известна под именами No_more_ransome, Da Vinci, Troldesh). На этот раз фишинговые рассылки, призванные установить на компьютер жертвы Shade, зафиксировали специалисты международной компании Group-IB.

В ходе новых атак киберпреступники рассылают электронные письма от имени уважаемых крупных авиакомпаний, автодилеров и СМИ. В этом месяце было замечено 1100 таких писем, а во втором квартале 2019 года — 6 тысяч.

Исследователи Group-IB предупреждают российские компании: вредоносная кибероперация все еще активна. Следовательно, стоит крайне внимательно относиться ко всей входящей электронной почте.

Согласно своей основной задаче, Shade в этих атаках шифрует файлы жертвы и требует выкуп. При этом злоумышленники защитили командный сервер (C&C), разместив его в сети Tor.

Благодаря тому, что C&C постоянно перемещается, заблокировать его не так легко. А факт продажи вымогателя на площадках даркнета способствует постоянной модификации вредоноса.

Эксперты также отметили: в последних атаках Shade не только шифрует файлы, но и добывает цифровую валюту, а также генерирует трафик на сайты для увеличения посещаемости и доходов от онлайн-рекламы.

В результате за второй квартал 2019 года масштаб атак Shade увеличился почти в 2,5 раза в сравнении со всем 2018 годом.

В последних операциях киберпреступники маскировали свои письма под отправленные популярными компаниями уведомления. Среди этих компаний специалисты выделяют «Полярные авиалинии», «Рольф», РБК и Новосибирск-online.

В теле такого письма злоумышленник представляется сотрудником компании и просит открыть вложенный в письмо файл, который якобы содержит подробности «заказа». Для атак преступники используют и зараженные IoT-устройства, среди которых есть роутеры.

В январе специалисты в области кибербезопасности из антивирусной компании ESET в своем блоге опубликовали информацию о новой атаке шифровальщика Shade, который был нацелен на российский бизнес.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Яков Шпунт 26 Ноября 2024 - 10:38

Сбои программ Общее Microsoft

В работе облачных сервисов Microsoft произошел глобальный сбой

В ночь на 26 ноября в работе сервисов на платформе Microsoft 365, включая Teams, Exchange Online и Outlook, произошел сбой. Он продолжался 8 часов и был связан с ошибками в ходе планового обновления платформы.

Проблемы в работе сервисов Microsoft начали проявляться между 22:10 и 22:30 UTC (1:10 и 1:30 соответственно по московскому времени). Однако первые симптомы сбоя начали спорадически появляться уже в ночь на воскресенье 24 ноября.

Пользователи Outlook и Exchange Online не могли синхронизировать почту. В Teams перестали работать все функции, включая чаты, голосовые сообщения и календарь. Больше всего жалоб на прекращение работы сервисов поступало из обеих Америк, Австралии и зарубежного Дальнего Востока, где сбой пришелся на разгар рабочего дня.

Проблемы были вызваны неудачным обновлением платформы.

«Мы выявили недавнее изменение, которое, по нашему мнению, привело к сбою. Мы начали отменять изменение и выясняем, какие дополнительные действия необходимы для смягчения проблемы», — сообщили в Microsoft.

Служба поддержки Microsoft пообещала устранить проблемы за три часа. Однако оперативно это сделать не получилось, и работы затянулись до утра по UTC.