Just nu ser vi hos flera kunder att ett mail som utger sig att komma från Telia skickas i en väldigt stor skala. Mailet är utformad som en faktura och innehåller knappar för att visa eller betala faktura. Knapparna är länkar som laddar ner ransomware och krypterar filer. Länkarna pekar på rysk domän. Detta mail är väldigt väl utformat. Exempelvis visas namnet på mottagaren i fakturan. OCR nummer och beloppet är hela tiden olika.

De inblandade domäner vi sett i våra analyser är:

ow9r.teliabills.com                    A 5.200.56.133
nbq.teliabills.com                      A 5.200.56.133
Tridex.ru

Om du är SuperVisionkund har vi lagt in ändringar som hjälper till att hindra infektion.

Varna era kunder eller användare om detta för att undvika att någon klickar på länken.

Nytt Telia-spam med Ransomware

Nytt Telia-spam med Ransomware

 

Mvh Kenneth Höglund NSEC SOC