Издание РБК со ссылкой на специалистов по кибербезопасности из «Ростелеком-Solar», Group-IB и Positive Technologies сообщает, что вирус-вымогатель Shade/Troldesh, шифрующий данные на компьютерах, а затем требующий выкуп за разблокировку, вновь активизировался.

Используя поддельные почтовые рассылки, хакеры внедряются в компьютерные инфраструктуры крупных компаний. На данный момент известно, что десятки российских фирм получили письма, замаскированные под рассылки от Бинбанка, Газпромбанка, «Открытия», Metro, «Ашана», «Магнита» и якобы других банков и торговых сетей, содержащие вирус.

Невнимательные пользователи открывают письмо и запускают приложенный к нему файл-установщик, благодаря которому вирус попадает в систему, а затем начинает шифровать имеющиеся на компьютере данные, попутно распространяясь по корпоративной сети на другие компьютеры. После того, как вся информация зашифрована, на заражённых компьютерах появляется сообщение с предложением оплатить услугу расшифровки данных. О масштабах заражения пока не сообщается.

Впервые об атаках Troldesh стало известно в ноябре прошлого года. Пик атак пришёлся на февраль-март 2019 года. Злоумышленники рассылали заражённые письма, маскируя их под рассылку от банков и сетей супермаркетов.

Главным отличием вирусной атаки стало применение умных устройств, расположенных в Азиии, Европе и России. Взломанные роутеры и другие подключенные к сети гаджеты, были объединены хакерами в сеть, которая занималась рассылкой писем с вредоносным вирусом, шифрующим данные на компьютерах.

Эксперты отмечают, что ранее для подобных атак взломщики пользовались облачными серверами, но отдали предпочтение устройствам Интернета Вещей из-за того, что их гораздо сложнее отследить, но получить к ним доступ в разы проще — их пользователи зачастую забывают сменить поставленный на них заводской пароль, а многие и попросту не умеют этого делать.