Согласно информации Group-IB, на российские компании были совершены масштабные атаки вируса-шифровальщика Troldesh, требующего выкуп для восстановления доступа к информации.
Злоумышленники отправляют письма от имени сотрудников крупных авиакомпаний («Полярные авиалинии»), автодилеров («Рольф») и СМИ (РБК, Новосибирск-online). Мошенники просят открыть приложенный к письму запароленный архив, в котором якобы содержатся подробности заказа.
В июне специалистами компании Group-IB было обнаружено более 1,1 тысячи фишинговых писем, а за второй квартал 2019 года количество электронных отправлений превысило шесть тысяч. Помимо зашифровки файлов на заражённом устройстве и требовании выкупа вирус также майнит криптовалюту и генерирует трафик на веб-сайты.
Troldesh продается или сдаётся в аренду в Даркнете. У него постоянно появляются новые функции и меняются формы распространения. Впервые его вируса была зафиксирована в 2015 году, а к концу 2018-го вирус вошёл в тройку самых популярных шифровальщиков.
Предыдущая масштабная атака произошла в марте этого года. Тогда послания приходили от имени «Ашана», «Магнита», ГК «ПИК» и других компаний.