Госспецсвязь предупредила о новых кибератаках

Команда реагирования на чрезвычайные события Украины CERT-UA, которая функционирует в рамках Государственной службы специальной связи и защиты информации, предупреждает о попытках кибератак на украинские организации и учреждения с использованием легитимной программы Remote Utilities.

Об этом сообщает Центр стратегических коммуникаций и информационной безопасности.

— Продолжаются массированные кибератаки, которые были 13-14 января, — говорится в сообщении центра в Telegram-канале.

Підтримай тих, хто щодня тримає місто в курсі

Клуб МикВісті — місце, де читач і редакція по один бік.

Учасники мають закритий чат, ексклюзивну розсилку із залаштунків життя журналістів, бачать новини раніше й впливають на зміни.

Приєднуйся. Разом тримаємо місто світлим

Одноразова підтримка Підписка місячна

₴ 50 ₴ 100 ₴ 500

Підтримати

₴ 100 ₴ 250 ₴ 500

Безпечна оплата

Отримувачем внесків є ГО «Миколаївський Медіа Хаб» (ЄДРПОУ 45160758). Здійснюючи внесок, ви підтверджуєте згоду з тим, що внесена сума не підлягає поверненню та може бути використана ГО «Миколаївський Медіа Хаб» на реалізацію статутної діяльності, що включає підтримку незалежної журналістики та створення суспільно важливого контенту. Публічна оферта.

По его данным, начиная с пятницы, происходит рассылка с судебными запросами. Несмотря на то, что рассылка ведется с официальных адресов судебной власти, запросы фальсифицированы, а по ссылкам в письме загружается вредоносное программное обеспечение.

— Проблему усугубляет то, что рассылка происходит с настоящих почтовых серверов судебной власти. Таким образом, письма проходят спам-фильтры и вызывают доверие. Возможно, скомпрометированы только отдельные адреса судов, хотя не стоит исключать, что может быть скомпрометирован весь почтовый сервер, — отмечается в сообщении.

В ведомстве считают, что, поскольку в Украине законодательством усилена роль электронной почты как официального средства коммуникации в судебном процессе, подобный вектор атак будет развиваться и в дальнейшем.

Также указано, что электронные почтовые сообщения содержат ссылку на защищенные паролем RAR и/или ZIP архивы (например, Судебный запрос №997836477463567677822.rar_pass_123.zip), размещены на публичных сервисах Google Drive и DropMeFiles.

Если получатель сообщения загрузит и распакует такой архив, на его компьютере будет установлена программа Remote Utilities. Она, в свою очередь, предоставит скрытый удаленный доступ к устройству третьим лицам. При этом способность программы обновлять активность после перезагрузки компьютера обеспечивается путем создания службы RManService.

— Подобные кибератаки являются систематической активностью, которая осуществляется в отношении государственных органов Украины (но не только) и отслеживается CERT-UA по идентификатору UAC-0096, — заметили в службе.

Для удаления вредоносной программы в Госспецсвязи рекомендуют остановить сервис RManService, удалить каталог %PROGRAMFILES(X86)%\Remote Utilities – Host\, удалить ключ реестра HKLM\SOFTWARE\Usoris.

Напомним, по доступной польскому правительству информации, группа хакеров, которые 14 января атаковали сайты ряда украинских министерств и «Дiю», связаны с российскими спецслужбами и причастны также к кибератаке на Бундестаг и электронные почты ряда польских чиновников.