Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA за останні 10 діб зафіксували вже третю кібератаку угрупування UAC-0006 з використанням листів на тему "рахунки / оплати".
Як повідомляє Державна служба спеціального зв’язку та захисту інформації України в Telegram, у повідомленні, яке приходить користувачеві, є вкладення, яке містить файли та архіви з назвами на кшталт: "Платiжна iнструкцiя iпн та вытяг з реестру", "Витяг з реeстру вiд 24.07.2023р_Код документа…", тощо.
Зазначається, що відкриття користувачем таких файлів призведе до завантаження і запуску шкідливої програми SmokeLoader. Для масового розповсюдження електронних листів зловмисники використовують ботмережі в понад тисячу комп'ютерів.
"Активізація угрупування UAC-0006 може призвести до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування", - йдеться в повідомленні.
У Держспецзв’язку наголосили, що керівникам підприємств та бухгалтерам необхідно звернути увагу на посилення захисту автоматизованих робочих місць, призначених для формування, підписання та відправки платежів шляхом застосування програмних засобів захисту.
Також необхідно звернутися до системних адміністраторів для обмеження можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрації вихідних інформаційних потоків.
Крім того, фахівці CERT-UA зауважили, що активність групи UAC-0006 є фінансово мотивованою та здійснювалась від 2013 року по липень 2021 року. У травні 2023 року зловмисники відновили свою діяльність.
"Типовий зловмисний задум полягає в ураженні бухгалтерських ЕОМ, за допомогою яких здійснюється забезпечення фінансової діяльності; викраденні автентифікаційних даних (логін, пароль, ключ / сертифікат) та створенні несанкціонованих платежів", - додали в Держспецзв’язку.
Війна в Україні та російські хакери
Станом на 14 червня 2023 року одразу декілька європейських країн заявили про те, що вони страждають від російської діяльності.
17 червня пов'язана з Росією група хакерів Cl0p здійснила масовану атаку, після чого Міністерство енергетики Сполучених Штатів Америки отримало вимоги викупу.
У Державній службі спеціального зв'язку та захисту інформації України наголошують, що російські хакери продовжують полювати на персональні дані українців. Фішинг залишається улюбленою тактикою хакерів країни-агресора.
