УкраїнськаУКР
EnglishENG
PolskiPOL
русскийРУС

Украинцам массово рассылают опасные письма: как распознать email от мошенников

Дарина Герцева
Личные финансы
2 минуты
2,5 т.
В Украине зафиксирована новая волна киберугроз

В Украине зафиксирована новая волна киберугроз, направленных на государственные организации через массовое распространение вредных электронных писем. Гражданам следует особенно внимательно относиться к фальшивым письмам, связанным с сервисами Amazon, Microsoft.

Видео дня

Об этом пишет CERT-UA. Злоумышленники используют темы, связанные с интеграцией сервисов Amazon, Microsoft и внедрением архитектуры "нулевого доверия" (Zero trust architecture, ZTA), чтобы заманить своих жертв в ловушку.

Один из основных механизмов атаки включает использование фальшивых электронных писем, отправляемых от имени якобы Генштаба Вооруженных сил Украины. В таких письмах предоставляется ссылка на сторонний веб-сайт, где предлагается загрузить "приказ" или другие документы. Однако вместо безопасных файлов пользователь загружает на свой компьютер исполняемый файл, активирующий вредоносное приложение RomCom.

CERT-UA указывает на возможную связь этой активности с деятельностью хакерской группы под названием Tropical Scorpius, которая также известна как UNC2596. Она ответственна за распространение Cuba Ransomware – одного из наиболее опасных типов программ-вымогателей, блокирующего доступ к файлам пользователей и требующего выкупа за их восстановление. Группа использует вредоносное приложение RomCom, которое обеспечивает удаленный доступ к системе жертвы, позволяя злоумышленникам воровать информацию и контролировать инфицированные устройства.

Вредоносная программа, загружаемая в результате нажатия на вредоносную ссылку, включает несколько этапов заражения системы. После загрузки файла AcroRdrDCx642200120169_ru_RU.exe, который выглядит как обычное обновление программного обеспечения, на компьютере запускается программа, активирующая файл rmtpak.dll. Этот файл позволяет хакерам получить доступ к внутренним системам жертвы, осуществлять удаленное управление компьютером, копировать данные и устанавливать дополнительные вредоносные программы.

Для обнаружения потенциальных угроз на компьютерах жертв CERT-UA публикует индикаторы компрометации, включающие названия файлов, хэши и IP-адреса, связанные с кибератакой. В частности, среди индикаторов компрометации были зафиксированы файлы с названиями "Наказ_309.pdf" и AcroRdrDCx642200120169_ru_UA.exe, а также IP-адреса, связанные с вредной активностью: 45[.]158.38.34,6. и другие.

Чтобы защитить свои системы, специалисты по кибербезопасности советуют принимать ряд технических мер. Это, в частности:

  • блокировка RDP-соединений – закрытие возможности удаленного доступа через RDP-протокол из внешних источников;
  • блокировка вредоносных файлов – настройка почтовых шлюзов для блокировки файлов ".rdp", которые могут быть использованы для удаленного подключения;
  • сетевой мониторинг – проверка сетевого трафика на наличие подозрительных соединений с указанными в предупреждениях CERT-UA IP-адресами.

В случае обнаружения индикаторов компрометации или подозрительной активности следует немедленно обратиться в ИТ-отдел или к специалистам по кибербезопасности. Важно изолировать инфицированные системы и начать процесс проверки всей сети на наличие других потенциальных угроз. Кроме того, необходимо соблюдать основные правила безопасности, включая регулярное обновление программного обеспечения и предотвращение открытия подозрительных электронных писем.

Как сообщал OBOZ.UA ранее, северокорейские хакеры за семь лет похитили криптовалюту на сумму около 3 миллиардов долларов. Эти средства были ориентированы на финансирование ядерной и ракетной программ КНДР.

Только проверенная информация у нас в Telegram-канале OBOZ.UA и в Viber. Не ведитесь на фейки!