Хакери атакують поштові скриньки українців листами з темою "рахунки/оплати"

В Україні активізувалася група фінансових кіберзлочинців. Ілюстративне фото: Getty Images

Упродовж 10 днів в Україні зафіксувати вже третю кібератаку з використанням електронних листів із темою про рахунки чи оплату рахунків.

Про це повідомили у Державній службі спеціального зв’язку та захисту інформації України.

Зазначається, що загрозу виявила Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UAСпеціалізований структурний підрозділ Державного центру кіберзахисту. Метою діяльності CERT-UA є забезпечення захисту державних інформаційних ресурсів від несанкціонованого доступу, що діє при Держспецзв’язку. Йдеться про кібезлочинців з угрупування UAC-0006.

У повідомленні, яке приходить користувачеві, є вкладення у вигляді архівного файлу, що містить файли та архіви з назвами на кшталт: "Платiжна iнструкцiя iпн та витяг з реестру", "Витяг з реeстру вiд 24.07.2023р_Код документа…", тощо.

У разі, якщо користувач відкриє ці файли, то це призведе до завантаження і запуску шкідливої програми SmokeLoader. Відомо, що для масового розповсюдження електронних листів зловмисники використовують ботмережі із понад 1000 комп'ютерів.

"На думку фахівців CERT-UA, активізація угрупування UAC-0006 може призвести до підвищення кількості випадків шахрайства з використанням систем дистанційного банківського обслуговування", — йдеться у повідомленні.

Як убезпечитися від атак?

У Держспецзв’язку застерегли керівників підприємств та бухгалтерів, яким порадили звернути увагу на посилення захисту автоматизованих робочих місць, призначених для формування, підписання та відправлення платежів шляхом застосування програмних засобів захисту.

Також варто звернутися до системних адміністраторів для обмеження можливості запуску штатних утиліт (wscript.exe, cscript.exe, powershell.exe, mshta.exe) та фільтрації вихідних інформаційних потоків.

Що відомо про кіберзлочинців UAC-0006?

Раніше ця група кілька разів вже здійснювала подібні кібератаки. На думку фахівців, активність групи UAC-0006 є фінансово мотивованою та здійснювалася від 2013 року по липень 2021 року. У травні 2023 року зловмисники відновили свою діяльність.

Типовий зловмисний задум полягає в ураженні бухгалтерських ЕОМ, за допомогою яких здійснюється забезпечення фінансової діяльності; викраденні автентифікаційних даних (логін, пароль, ключ / сертифікат) та створенні несанкціонованих платежів.