Госспецсвязь предупредила о новых кибератаках

Команда реагирования на чрезвычайные события Украины CERT-UA, которая функционирует в рамках Государственной службы специальной связи и защиты информации, предупреждает о попытках кибератак на украинские организации и учреждения с использованием легитимной программы Remote Utilities.

Об этом сообщает Центр стратегических коммуникаций и информационной безопасности.

— Продолжаются массированные кибератаки, которые были 13-14 января, — говорится в сообщении центра в Telegram-канале.

Поддержи тех, кто каждый день держит город в курсе

Клуб НикВести — место, где читатель и редакция по одну сторону.

Участники имеют закрытый чат, эксклюзивную рассылку о закулисье жизни журналистов, видят новости раньше других и влияют на изменения.

Присоединяйся. Вместе сохраняем город светлым

Разовая поддержка Ежемесячная подписка

₴ 50 ₴ 100 ₴ 500

Поддерживать

₴ 100 ₴ 250 ₴ 500

Безопасная оплата

Получателем пожертвований является ОО «Николаевский медиа хаб» (ЕГРПОУ 45160758). Совершая пожертвование, вы подтверждаете, что сумма не подлежит возврату и может быть использована ОО на реализацию ее уставной деятельности, в том числе на поддержку независимой журналистики и создание общественно значимого контента. Публичная оферта.

По его данным, начиная с пятницы, происходит рассылка с судебными запросами. Несмотря на то, что рассылка ведется с официальных адресов судебной власти, запросы фальсифицированы, а по ссылкам в письме загружается вредоносное программное обеспечение.

— Проблему усугубляет то, что рассылка происходит с настоящих почтовых серверов судебной власти. Таким образом, письма проходят спам-фильтры и вызывают доверие. Возможно, скомпрометированы только отдельные адреса судов, хотя не стоит исключать, что может быть скомпрометирован весь почтовый сервер, — отмечается в сообщении.

В ведомстве считают, что, поскольку в Украине законодательством усилена роль электронной почты как официального средства коммуникации в судебном процессе, подобный вектор атак будет развиваться и в дальнейшем.

Также указано, что электронные почтовые сообщения содержат ссылку на защищенные паролем RAR и/или ZIP архивы (например, Судебный запрос №997836477463567677822.rar_pass_123.zip), размещены на публичных сервисах Google Drive и DropMeFiles.

Если получатель сообщения загрузит и распакует такой архив, на его компьютере будет установлена программа Remote Utilities. Она, в свою очередь, предоставит скрытый удаленный доступ к устройству третьим лицам. При этом способность программы обновлять активность после перезагрузки компьютера обеспечивается путем создания службы RManService.

— Подобные кибератаки являются систематической активностью, которая осуществляется в отношении государственных органов Украины (но не только) и отслеживается CERT-UA по идентификатору UAC-0096, — заметили в службе.

Для удаления вредоносной программы в Госспецсвязи рекомендуют остановить сервис RManService, удалить каталог %PROGRAMFILES(X86)%\Remote Utilities – Host\, удалить ключ реестра HKLM\SOFTWARE\Usoris.

Напомним, по доступной польскому правительству информации, группа хакеров, которые 14 января атаковали сайты ряда украинских министерств и «Дiю», связаны с российскими спецслужбами и причастны также к кибератаке на Бундестаг и электронные почты ряда польских чиновников.