Держспецзв'язку заявила про ще одну кібератаку на українські організації та установи

Команда реагування на надзвичайні події України CERT-UA, яка функціонує у рамках Державної служби спеціального зв'язку та захисту інформації, попереджає про спроби кібератак на українські організації та установи з використанням легітимної програми Remote Utilities.

Про це повідомляє Центр стратегічних комунікацій та інформаційної безпеки.

«Продовжуються масовані кібератаки, які були 13-14 січня», – йдеться у повідомленні центру у Telegram-каналі.

За його даними, починаючи з п'ятниці, відбувається розсилання із судовими запитами. Попри те, що розсилання ведеться з офіційних адрес судової влади, запити сфальсифіковані, а за посиланнями в листі завантажується шкідливе програмне забезпечення.

«Проблему посилює те, що розсилка відбувається зі справжніх поштових серверів судової влади. Таким чином, листи проходять спам-фільтри та викликають довіру. Можливо, скомпрометовані лише окремі адреси судів, хоча не варто відкидати, що може бути скомпрометований весь поштовий сервер», – зазначається у повідомленні.

У відомстві вважають, що оскільки в Україні законодавством посилено роль електронної пошти як офіційного засобу комунікації в судовому процесі, «подібний вектор атак розвиватиметься і надалі».

Також зазначено, що електронні поштові повідомлення містять посилання на захищені паролем RAR та/або ZIP архіви (наприклад, Судовий запит №997836477463567677822.rar_pass_123.zip), розміщені на публічних сервісах Google Drive та DropMeFiles.

Якщо одержувач повідомлення завантажить та розпакує такий архів, на його комп'ютері буде встановлена ​​програма Remote Utilities. Вона, своєю чергою, надасть прихований віддалений доступ до пристрою третім особам. При цьому здатність програми оновлювати активність після перезавантаження комп'ютера забезпечується шляхом створення служби RManService.

«Подібні кібератаки є систематичною активністю, яка здійснюється щодо державних органів України (але не тільки) і відстежується CERT-UA за ідентифікатором UAC-0096», – зауважили у службі.

Для видалення шкідливої ​​програми в Держспецзв'язку рекомендують зупинити сервіс RManService, видалити каталог %PROGRAMFILES(X86)%\Remote Utilities – Host\, видалити ключ реєстру HKLM\SOFTWARE\Usoris.

В українському уряді називають цю розсилку продовженням кібератак, які почалися в ніч проти 14 січня.

ЧИТАЙТЕ ТАКОЖ:

• Хакери атакували офіційний сайт України
• Витоку особистих даних українців із «Дії» не було, – Нацполіція
• СБУ: за хвилею псевдомінувань по всій країні стоїть Росія (відео)