Україну накрила нова кібератака: хакери розсилають вірус з офіційних адрес судів

З офіційних адрес судів здійснюється розсилка вірусу під виглядом судових запитів
фото: Центр стратегічних комунікацій та інформаційної безпеки

На комп'ютерах користувачів встановлюється програма Remote Utilities, яка надає прихований віддалений доступ до пристрою третім особам

В Україні продовжуються масовані кібератаки. Так, 28 січня з офіційних адрес судової влади була розсилка з начебто судовими запитами. За посиланнями в листі розміщений вірус, повідомив Центр стратегічних комунікацій та інформаційної безпеки.

Проблему посилює те, що розсилка відбувається зі справжніх поштових серверів судової влади. Таким чином листи проходять спам-фільтри і викликають значно більше довіри.

Центр стратегічних комунікацій та інформаційної безпеки зазначає, що, можливо, скомпрометовані лише окремі адреси судів, хоча не варто виключати, що може бути скомпрометований весь поштовий сервер.

«На жаль, свіжі зміни до кодексів, проголосовані Верховною Радою, тільки підсилюють роль електронної пошти, як офіційного засобу комунікації в судовому процесі – тому подібний вектор атак буде розвиватись і надалі», – додали в Центрі.

За інформацією Урядової команди реагування на комп'ютерні надзвичайні події України (CERT-UA), заражені файли упаковані в запаролені архіви.

Зазначено, що електронні поштові повідомлення містять посилання на захищені паролем RAR та/або ZIP архіви (наприклад, Судовий запит №997836477463567677822.rar_pass_123.zip), розміщені на публічних сервісах Google Drive та DropMeFiles.

Якщо одержувач повідомлення завантажить та розпакує такий архів, на його комп'ютері буде встановлена програма Remote Utilities. Вона, у свою чергу, надасть прихований віддалений доступ до пристрою третім особам. При цьому здатність програми оновлювати активність після перезавантаження комп'ютера забезпечується шляхом створення служби RManService.

«Подібні кібератаки є систематичною активністю, яка здійснюється щодо державних органів України (але не тільки) і відстежується CERT-UA за ідентифікатором UAC-0096», – зауважили у службі.

Щоб її позбутися, необхідно:

  • зупинити в диспетчері завдань службу RManService;
  • видалити каталог %PROGRAMFILES(X86)%\Remote Utilities – Host;
  • видалити ключ реєстру HKLM\SOFTWARE\Usoris.

До слова, Польща підвищила рівень терористичної загрози через кібератаку на Україну.

Нагадаємо, у ніч на 14 січня хакери, які видали себе за поляків, атакували сайти низки міністерств, Кабміну та сайт «Дії». Також хакери атакували сайт Нацбанку.

На стартовій сторінці Міносвіти і МЗС було розміщено повідомлення українською, російською та польською мовами про те, що особисті дані українців будуть у загальному доступі в мережі.

СБУ разом з Держкомзв’язку заявили, що витоку персональних даних внаслідок атаки не відбулося. Міністерство цифрової трансформації оприлюднило офіційну заяву у зв’язку з хакерською атакою на урядові сайти.

За інформацією Центру інформаційної безпеки, за кібератакою проти України стоїть Росія. А версію про причетність до атак Польщі спростовує те, що польський текст писав не носій мови. Це Центру стратегічних комунікацій підтвердили польські колеги.

Як повідомлялося, глава дипломатії ЄС Жозеп Боррель засудив кібератаки проти сайтів українських державних установ та заявив, що комітет ЄС з питань політики та безпеки, а також кіберпідрозділи зустрінуться, аби обговорити, як відреагувати та допомогти Києву.

Читайте також: