Кіберзагроза у День незалежності: у країні чекають нової кібератаки


День Конституції України 2017 року безумовно запам’ятався масованою хакерською атакою вірусу Petya. А під яку потрапили сотні користувачів, при цьому їхня левова частка прийшлася на державні та комерційні структури.

Так об 11 годині 27 червня тисячі комп’ютерів виявилися ураженими вірусом Petya.А. котрий потрапляв у електронні пошти користувачів, здебільшого бухгалтерій державних та комерційних структур, під виглядом звичайного оновлення програмного забезпечення та спеціальних бухгалтерських програм. Згодом файл «засинав» до часу включення, що й відбулося 27 червня.

Під час «нападу» дані на комп’ютері зашифровувалися, а за розшифровку вимагався викуп у 300 доларів США.

У лічені хвилини під атакою опинилися сайт Кабінету міністрів України, понад 30 банків, у тому числі Ощадбанк, аеропорти «Бориспіль» та «Харків», Київський метрополітен, «Епіцентр», «Укрзалізниця», «Нова пошта», ПАТ ДТЕК, ДП «Укренерго», «Київенерго», авіапідприємство «Антонов», Київводоканал, сайт «Кореспондент» і навіть Чорнобильська АЕС.

У результаті не пройшли електронні банківські платежі, не було можливості придбати квиток на літак, а то й погасло світло.

Майже одразу з’явилася офіційна версія, котра називала організатором нападу Російську Федерацію, що згідно із даними правоохоронців на протязі лише двох місяців 2016 року атакували Україну понад 6500 разів.

Враховуючи дату атаки – напередодні державного свята, назву вірусу, те, що об’єктами для неї стали здебільшого держструктури, а заробіток вимагачів склав усього приблизно 12 тисяч доларів, атака дійсно виглядала більш ніж підозріло.

Для подолання наслідків атаки знадобилося декілька днів, проте про неї не забули.

Так, у прийнятих парламентом США санкціях щодо РФ, остання прямо називається відповідальною за безліч кібератак, що відбулися в Україні останнім часом, а також виділяє 250 мільйонів доларів на боротьбу із російським впливом у Східній Європі, у тому числі й на кібернетичну безпеку України.

Також експерти назвали дуже вірогідним повернення вірусу, протиставити якому Україні поки що нічого.

3 серпня голова Департаменту кіберполіції Національної поліції України Сергій Демедюк в інтерв’ю інтернет-виданню «Главком» повідомив, що у відомстві чекають на чергову кібератаку, що може відбутися в День незалежності України, 24 серпня.
7-8 серпня за офіційною заявою ДП «Укрпошта», був атакований невідомими хакерами сайт компанії.

Нарешті, 22 серпня, голова наглядової ради Octava Capital Олександр Кардаков опублікував на власній сторінці у Фейсбуці повідомлення, що останні дві години до компанії надходять повідомлення про масові поштові розсилки, що містять шкідливий код, як правило в одному з архівних форматів: ARJ, ZIP, 7-ZIP та інші.

«Вранці наша система захисту електронної пошти перехопила подібні повідомлення з вкладенням 7-ZIP, маскирующимися під вкладені рахунки. Вміст зараз аналізується, але вже ясно, що воно містить активну частину, яка намагається встановити інтернет-з’єднання», – повідомив про власний досвід знайомства із новим вірусом Кардаков.

Також він надав кілька рекомендацій для користувачів:

  1. Видаляйте листи з архівними вкладеннями з незнайомих і неперевірених адрес, не відкриваючи їх.
  2. Якщо у вас MS Outlook і MS Exchange, не відкривайте файли безпосередньо в додатках MS Office, обов’язково користуйтеся засобами попереднього перегляду вмісту файлу.

Якщо ви системний адміністратор, налаштуйте вашу поштову систему на переміщення підозрілих вкладень в карантин з подальшим поглибленим скануванням. Принаймні, до 28 серпня.

Цю інформацію доповнили фахівці компанії ISSP Labs, що зафіксували початок нової хвилі кібератак з використанням офіційного сайту компанії по розробці комплексу бухгалтерського обліку Crystal Finance Millenniu.

Згідно із інформацією компанії файл з назвою «док.zip» завантажується разом з отриманим електронним листом, який відкриває жертва, і є текстовим файлом зі скриптом на мові JavaScript. Скрипт є завантажувачем. Його основне завдання – завантажити і запустити виконуваний файл (модуль) load.exe, який стає вікном для зловмисників, повідомляє сайт «Дело.юа».

«Цей шкідливий файл збирає інформацію про комп’ютері жертви і відправляє її на командні центри зловмисників. Паралельно з цим даний файл чекає вказівок від зловмисників і чекає команду на установку додаткових модулів, які перетворять комп’ютер жертви в бажаний для хакерів», – повідомив керівник ISSP Labs Олексій Ясинський.

У прес-релізі наголошується, що згідно публічної інформації, cfm.com.ua – сайт
програмного комплексу бухгалтерського обліку Crystal Finance Millennium. Імовірно, зловмисники використовували уразливості сайту для розміщення там шкідливих файлів, або це результат атаки NotPetya 27 червня (зловмисники залишили для себе можливість несанкціонованого входу і тепер їм скористалися).

Компанія рекомендує тимчасово заблокувати на файерволах ip-адреси та посилання, зазначені в звіті.

Тож цілком можливо, що робити неприємні сюрпризи на українські державні свята стане для когось звичкою и першим на це сумнівне право претендує Російська Федерація.

Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInShare on VKPin on Pinterest

3907
коментарі відсутні