Російські кіберзлочинці з угруповання Evil Corp. потрапили під санкції з боку США, Великої Британії та Австралії. Про це пишуть фахівці Центру стратегічних комунікацій та інформаційної безпеки.

Це кіберугруповання відповідальне за створення і розповсюдження шкідливого програмного забезпечення Dridex, яке використовувалося для зараження комп'ютерів і викрадення облікових даних із сотень банків та фінансових установ у понад 40 країнах світу. Згідно з заявами Міністерства фінансів США та уряду Великої Британії, ці атаки завдали збитків американським та міжнародним фінансовим установам і їхнім клієнтам на понад $100 мільйонів.

Під санкції потрапили:

- Максим Якубець, який тривалий час очолював діяльність угруповання та розвивав тісні зв'язки між Evil Corp. та російськими спецслужбами, ФСБ і ГРУ.

- Едуард Бендерський, колишній офіцер ФСБ, та Олександр Риженков, друг Якубця, якого звинувачують у використанні шкідливої програми-вимагача BitPaymer для атак на американських громадян.

- Віктор Якубець, батько Максима Якубця.

Велика Британія ввела санкції проти 16 членів угруповання Evil Corp., які передбачають замороження активів і заборону на в'їзд до країни.

Як повідомляє Держспецзв'язку, кіберзлочинці надсилають українським військовослужбовцям електронні листи з фальшивою інформацією про новітнє озброєння. До листів додається файл, що містить архів RARSFX, всередині якого знаходиться EXE-інсталятор зі шкідливою програмою SPECTR. Цей вірус збирає конфіденційну інформацію, включно з паролями. Окрім того, хакери проводять атаки через месенджер Signal, де надсилають файли-ярлики, які інфікують пристрої і дозволяють отримати віддалений доступ до даних жертв.

Центр стратегічних комунікацій та інформаційної безпеки наголошує, що ця кібергрупа була створена ще до повномасштабного вторгнення Росії в Україну і складається з колаборантів та колишніх співробітників українських правоохоронних органів.

Метою таких кібератак є підрив здатності Збройних сил України ефективно обороняти країну та дестабілізація ситуації на фронті через злам інформаційних систем. Збираючи конфіденційні дані, зокрема паролі та іншу важливу інформацію, хакери можуть отримати доступ до військових планів, місць розташування підрозділів та іншої критично важливої інформації, що може поставити під загрозу як військові операції, так і життя українських військовослужбовців. Крім того, Росія активно використовує кібератаки для інформаційної війни, аби дискредитувати обороноздатність України в очах міжнародної спільноти, подаючи ці злами як слабкість у захисті критичної інфраструктури.

Хакери розсилають електронні листи, маскуючи їх під повідомлення від СБУ. Про це повідомляє Центр протидії дезінформації.

За інформацією урядової команди реагування CERT-UA, вже виявлено понад 100 заражених комп'ютерів, включаючи ті, що належать державним установам та органам місцевого самоврядування. Про це повідомила Держспецзв'язку.

У листах міститься посилання на завантаження файлу під назвою «Документи». Але насправді за цим посиланням завантажується файл, який активує шкідливе програмне забезпечення ANONVNC, що дає зловмисникам змогу отримати прихований несанкціонований доступ до комп'ютера жертви.

Держспецзв'язку наголошує, що вже вжито невідкладних заходів для зниження ризику кіберзагрози.

За даними Microsoft, упродовж останніх 45 днів російські хакери активізувалися. Водночас поки що ця активність менша в порівнянні з американськими виборами 2020 року. Про це повідомляє Reuters.

Повідомлення через традиційні медіа та соцмережі транслюють не менш як 70 кібергруп. Повʼязані з Росією облікові записи поширюють суперечливий контент, наприклад, критикують американську підтримку України. Ба більше, хакери поширюють дезінформацію різними мовами й нібито від імені «викривача» або «журналіста».

Потім фейкові дописи публікують на низці вебсайтів, зокрема DC Weekly, Miami Chronical і The Intel Drop. Про це пишуть у Центрі стратегічних комунікацій та інформаційної безпеки при МКІП. Варто зауважити, що згадані ресурси є фейковими, створеними росіянами й, відповідно, на них поширюють інформацію в інтересах Росії. Раніше ми аналізували маніпуляцію російського агітпропу, мовляв, Захід та ПАРЄ «втручаються» у вибори президента Росії.

Російські хакери з так званої групи «Солнцепьок» взяли на себе відповідальність за кібератаку на мобільного оператора «Київстар». Вони стверджують, що буцімто знищили десять тисяч компʼютерів, понад чотири тисячі серверів й усі системи хмарного зберігання даних і резервного копіювання. Це — фейк.

У Центрі стратегічних комунікацій та інформаційної безпеки опрацювали цю інформацію. Речниця «Київстару» Ірина Леліченко заявила в інтервʼю Liga.net, що персональні дані користувачів мобільного оператора в безпеці, а інформація про нібито знищення «компʼютерів і серверів» не відповідає дійсності. До того ж до цієї кібератаки якісь «навмання зібрані технологічні дані» не мають жодного стосунку.

Після кібератаки роботу мережі «Київстар» уже частково відновили й вона запрацювала в користувачів у багатьох областях України. Для відновлення звʼязку іноді треба перезавантажити телефон. 

Вигадавши інформацію про тисячі знищених компʼютерів та серверів, росіяни намагалися посіяти паніку серед українців та запевнити їх, що варто переживати за персональні дані. Також ми писали, що Кіберполіція попереджає про шахрайську активність у месенджерах, скеровану на користувачів «Київстару».

У соцмережі Х (колишній твітер) з 25 жовтня масово поширюють матеріали на фейкових сайтах відомих українських та іноземних медіа. Про цю спам-атаку першими написали фактчекери проєкту The Insider. «Детектор медіа» публікує основні техніки та наративи, використані в рамках цієї спам-атаки.

Частина твітів містить посилання на кілька псевдоновинних/аналітичних матеріалів. Аналітики The Insider зʼясували, що вони розміщені на сайтах, підроблених під відомі українські видання, наприклад, Obozrevatel. У цих колонках можна побачити вже неодноразово повторювані меседжі пропагандистів — мовляв, поразка України є неминучою, Ізраїль повністю забере українську військову та фінансову допомогу, українці замерзнуть без опалення та будуть виживати без зарплат і пенсій. Нібито все це для того, щоб «київський режим» утримав владу. 

Підроблюють пропагандисти і сайти закордонних медіа. Як зазначають у The Insider, псевдоколонки публікують на «клонах» таких видань як Der Spiegel, Welt, Fox News, La Parisien, Walla тощо. Західній аудиторії подають ті ж наративи, тільки англійською, французькою, німецькою мовою та івритом. На централізованість атаки та звʼязок її організаторів із Росією вказує те, що в її рамках публікували посилання на російські пропагандистські медіа, де розміщено відео про «наркомана Володимира Зеленського».

Вдаючись до такого, пропагандисти хочуть викликати в українців паніку та зневіру в українському уряді, яка мала б призвести до дестабілізації політичної ситуації. На це вказує також і те, що атака відбулась одночасно з протестами в кількох українських містах під гаслом «За демобілізацію!», де використовували однакові візуальні матеріали. «Детектор медіа» вже неодноразово спростовував російські маніпуляції та фейки, спрямовані проти влади України, обраної народом. 

Пресслужба Мінінфраструктури повідомила, що росіяни атакують онлайн-сервіс для бронювання перетину кордону для транспорту «єЧерга». До здійснення кібератаки закликають у російських пропагандистських каналах. 

У Міністерстві зазначають, що система зараз працює без збоїв, однак у разі змін обіцяють оперативно проінформувати водіїв та перевізників. У відомстві запевняють, що персональні дані водіїв та дані транспортних засобів, що зареєстровані в системі, захищені та не можуть бути доступними стороннім особам навіть у випадку кібератак.

Росіяни часто вдаються до кібератак на українські вебсторінки або сервіси, а власне атаки координують через російські пропагандистські канали в соцмережах. 

Державна служба спеціального звʼязку та захисту інформації України повідомила, що у січні-лютому цього року Урядова команда реагування на компʼютерні надзвичайні події CERT-UA опрацювала понад триста кіберінцидентів та кібератак, що майже вдвоє менше, ніж у відповідний період торік. Тодішню високу активність російських хакерів відомство пояснює підготовкою Росії до повномасштабного вторгнення. 

Від початку 2023 року CERT-UA фіксує зростання кількості кібератак з метою шпигунства з акцентом на утриманні постійного доступу до організації. Крім того, більшу частину шкідливого програмного забезпечення, яке поширюють російські хакери, становлять програми для збирання даних та віддаленого доступу до пристроїв. 

На думку фахівців Держспецзвʼязку, Росія у такий спосіб готується до тривалої війни та намагається отримати будь-яку інформацію, що може дати перевагу у війні проти України, включно з даними щодо мобілізації та даних щодо логістики західної зброї.

У неділю у соцмережах повʼязана з Росією хакерська група Killnet анонсувала кібератаки на сайти НАТО. Після цього перестала відкриватись сторінка штаб-квартири Сил спеціальних операцій Альянсу (NSNQ). 

Речниця НАТО у коментарі для dpa підтвердила, що Альянс мав справу з «інцидентом, спрямованим проти сайтів» організації, додавши, що НАТО серйозно ставиться до своєї кібербезпеки. Станом на понеділок, усі сайти Альянсу вже були доступні.

Росія часто використовує кібератаки, щоб показати технологічну «вразливість» Заходу й продемонструвати свою «силу». Також подібні кібератаки використовують для зливання очорнювальних даних проти українських та європейських політиків, щоб дестабілізувати ситуацію всередині європейських країн та викликати недовіру до їхніх урядів.

Про це повідомили у Держспецзв’язку. Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) зафіксувала масове поширення небезпечних електронних листів, які надсилають від імені Апарату Ради національної безпеки і оборони України.

У темі розісланих листів йдеться про «критичне оновлення безпеки». У назві вкладення також йдеться про «оновлення системи безпеки». До листа прикріплено архів із зображенням «інструкції, яку важливо прочитати» та установним файлом. Після його завантаження та запуску на комп’ютері встановлюється програма прихованого віддаленого доступу. Завдяки цьому треті особи отримують доступ до керування комп’ютером та даних. Нещодавно зловмисники поширювали електронні листи зі схожим програмним забезпеченням від імені АТ «Укртелеком». Ймовірно, метою зловмисників є  шпигунство.

Про це повідомили в Службі безпеки України. Кілька тисяч ботів «розганяли» дезінформацію про ситуацію на південному фронті, популяризували російські окупаційні угруповання і закликали донатити на їхню підтримку. Крім цього займалися дискредитацією командування Сил оборони та підбурювали українських громадян ухилятися від мобілізації.

Першоджерелом поширення ворожого контенту був телеграм-канал колаборанта Рогова. На початку роботи ботоферма нараховувала майже дві тисячі фейкових акаунтів, що поширювали проросійські меседжі та наративи нібито від імені місцевих жителів. За словами СБУ, надалі цю ботоферму планували використовувати для поширення російської пропаганди у прифронтових районах області.

За даними слідства, організатор ботоферми — місцевий фахівець з ІТ-технологій. Необхідну техніку він розмістив в одному з орендованих офісних приміщень у центрі міста. За допомогою цього обладнання щодня реєстрували нові анонімні облікові записи у соцмережах, зокрема заборонених в Україні. Наразі триває слідство, відкрили кримінальне провадження.

Раніше «Детектор медіа» розповідав про проросійські та окупаційні телеграм-канали, які поширюють російську пропаганду.

Урядова команда реагування на комп'ютерні надзвичайні події України (CERT-UA) зафіксувала поширення електронних листів начебто від імені АТ «Укртелеком». 

У темі листа йшлося про судову претензію щодо особового рахунку. До листів серед іншого прикріпили файл із форматом «pdf.exe», після запуску якого на комп'ютері користувача встановлювалась програма для віддаленого контролю та стеження Remcos. Ця програма платна, її можна придбати на вебсайті виробника.

Схожі спроби неодноразово фіксували з 2020 року. Попередні кібератаки здійснювали за допомогою програми для віддаленого адміністрування RemoteUtilities. Листи розсилали здебільшого органам державної влади. Ймовірно — для шпигунства.

Раніше фахівці розповідали, що Україна щодоби відбиває від 5 до 40 потужних DDoS-атак.

Про це повідомив голова Державної служби спеціального звʼязку та захисту інформації України Юрій Щиголь. За грудень 2022 року Держспецзв'язок зупинив та заблокував 395 таких атак. Зокрема, 17 січня, фахівці Держспецзв'язку зупинили кібератаку російських хакерів на ресурси  інформаційного агентства «Укрінформ».

Загалом за 2022 рік урядова команда реагування на компʼютерні надзвичайні події CERT-UA зареєструвала 2194 кібератаки. Чверть із них — проти уряду та місцевих органів влади. Найбільше атакували енергетику, сектор безпеки та оборони, телеком і розробників, фінансовий сектор, логістику. Крім того, за грудень система зафіксувала 170 тисяч спроб використати вразливі місця у державних інформаційних ресурсах, які служба захищає. Найчастіше російські військові хакери розсилають шкідливе програмне забезпечення, що краде облікові дані або знищує інформаційні системи.

Також Держспецзвʼязку розслідує атаки в приватному секторі — це близько 200–300 кіберінцидентів за добу.  Їх досліджують переважно в напівавтоматичному режимі.

Раніше «Детктор медіа» розповідав про фішингові атаки на українців. Зокрема шахраї обіцяли українцям шість тисяч гривень «новорічної» допомоги; збирали інформацію про українських біженців та переселенців; закликали українців подати заявки на нібито на отримання фінансової допомоги. Детальніше.  

Російські медіа повідомляють, що в Україні нібито визнали ефективність російських кібератак на об’єкти критичної інфраструктури. Агітпроп стверджує, що про це сказав заступник голови Державної служби спеціального зв’язку та захисту інформації України Віктор Жора виданню Politico. Це не так.

У статті Politico, до якої апелюють пропагандисти, немає ані слова про ефективність російських кібератак. Як пише StopFake, у матеріалі йдеться, що такі атаки також мають вважатися воєнними злочинами, оскільки націлені на критичну та цивільну інфраструктуру України. Водночас і в СБУ, і в Держспецзв’язку повідомили, що за час повномасштабної війни російські хакери так і не досягли стратегічних цілей. Натомість українські фахівці збирають докази кібератак, які проводяться Росією спільно з ракетними атаками, і передають цю інформацію до Міжнародного кримінального суду в Гаазі. 

Наприкінці 2022 року у Службі безпеки України розповіли, що нейтралізували сотні російських кібератак та кіберінцидентів на об’єкти енергетики України, з яких близько 30 могли стати надкритичними. У Держспецзв’язку повідомили, що проти України зафіксували 2100 кіберінцидентів і кібератак, з них від початку повномасштабного вторгнення Росії в Україну — понад 1500. Найчастіше російські хакери атакують державний сектор, насамперед енергетичний сектор.

Раніше хакери надсилали фейкові листи зі шкідливим змістом від імені Державної служби України з надзвичайних ситуацій, Академії СБУ, листи, замасковані під «указ президента». Також агітпроп стверджував, що Росія не займалася кіберагресією.

Кібератаку небезпечними електронними листами виявили фахівці підрозділу кібербезпеки «Укрзалізниця». Тема листів – «Як розпізнати дрон-камікадзе», а надходять вони начебто від імені Державної служби України з надзвичайних ситуацій (ДСНС) з адреси morgunov.a@dsns.com[.]ua.

У вкладенні до листа міститься RAR-архів «shahed-136.rar» із PPSX-документом «shahed.ppsx». Якщо його відкрити, на пристрій буде завантажено файл «WibuCm32.dll». Його класифіковано як шкідливу програму DolphinCape. Основний функціонал програми – збирання інформації про комп’ютер, запуск EXE/DLL файлів, а також створення та ексфільтрація знімків екрана.

Про це повідомили у Міністерстві оборони України. Нещодавно оновлену версію цієї системи успішно представили на щорічній конференції експертів та розробників NATO Tide Sprint. Невдовзі після цього ворог почав атакувати систему і поширювати мережею пропагандистських ресурсів інформацію про нібито злам та доступ до її даних з метою дискредитації.

Інформаційні системи та інструменти, які застосовують українські захисники, є стратегічною ціллю для ворога, як і критична або енергетична інфраструктура країни. У Міністерстві оборони України повідомляють, що зараз система працює стабільно, дані в ній надійно захищені, несанкціонованих проникнень не зафіксовано. ІТ-розробники та фахівці з кібербезпеки моніторять ворожу активність у режимі реального часу.

Про це повідомили на сторінці Генштабу ЗСУ у фейсбуку. На електронні скриньки та у месенджери адресатам почали надходити листи нібито від пресслужби Генштабу ЗСУ. Однак, це спам-розсилання листів відбувається з адрес, що не мають жодного стосунку до Збройних Сил України та містить шкідливі файли (віруси, "трояни" тощо).

Генштаб ЗСУ закликає бути пильними та, щоб не допустити зараження персональних гаджетів шкідливим програмним забезпеченням. Рекомендують уважно читати електронну адресу відправника листа та перевіряти її достовірність.

Раніше росіяни розсилали комп’ютерні віруси нібито від імені СБУ під виглядом інструкції, як діяти в умовах активної фази бойових дій.

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Державній службі спеціального зв’язку та захисту інформації України, повідомила про нову кібератаку: масове розсилання електронних листів із темами «Інформаційний бюлетень» та «Бойове розпорядження». Вони надходять на приватні електронні адреси начебто від Національної академії Служби безпеки України. Відкриття додатків, які містяться у листах, призведе до запуску на комп’ютері шкідливої програми GammaLoad.PS1_v2 та, як наслідок, викрадення даних. Атаку пов'язують з хакерським угруповання ФСБ Росії Armageddon (UAC-0010).  

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Державній службі спеціального зв’язку та захисту інформації України, повідомила про нову кібератаку: масове розсилання електронних листів із темою «Остаточний платіж» та однойменним вкладенням у вигляді TGZ-архіву. Архів містить EXE-файл, відкриття якого призведе до завантаження на комп'ютері шкідливих програм та, як наслідок, викрадення даних. Атаку пов'язують з угрупованням російських хакерів UAC-0041.  

Неправдиву інформацію розповсюджували росіяни у формі копії друкованого документа під назвою «Термінове повідомлення щодо ймовірних ракетних ударів незабаром по території України». Це — підробка.  Як повідомляє компанія, «це фейк, вкид та просто невміла дискредитація з метою помститися Molfar за їх роботу для України».

Інформацію у фейковому документі подають «у стилі кабінетного наказу силової структури, де прийняття рішень залежить від печаток і підписів». Такий стиль формулювання текстів не властивий дослідникам Molfar. Фактчекери зазначають, що вони не володіють інсайдерською інформацією про ракетні обстріли й спрогнозувати маршрути польоту ракет на основі OSINT-аналітики неможливо. Також у фейковому документі використали лого пивоварні Molfar. Компанія закликає перевіряти інформацію та не вірити фейкам.  ‍Детальніше.

За інформацією першого заступника міського голови Львова Андрія Москаленка, під час кібератаки на ресурси Львівської міської ради 13 травня хакери викрали частину робочих файлів.

«Щойно стало відомо про перші наслідки кібератаки 13 травня на Львів. Росія окрім ракет використовує ІТ-фронт. Окрім руйнування системи управління містом, ворог ставив за мету отримання даних. Частина робочих файлів міста, попри всі системи захисту, була викрадена і опублікована на ворожих телеграм-каналах», — повідомив Москаленко. За його даними, з 24 лютого ІТ-фахівці відбили понад 100 спроб хакерських атак на Львівську міську раду.

Як повідомляє урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, пов’язане із ФСБ Росії угрупування UAC-0010 (Armageddon) здійснює нову кібератаку. Як ідеться у повідомленні, хакери розсилають небезпечні листи з темою «Щодо проведення акції помсти у Херсоні!», які містять вкладення у вигляді файлу «План Херсон.htm».

Якщо людина відкриє файл, на комп'ютері жертви створиться новий файл — «Herson.rar» із ярликом «План підходу та закладання вибухівки на об'єктах критичної інфраструктури Херсона.lnk». А як кінцевий результат — завантажиться шкідлива програма GammaLoad.PS1v2. «Хакерське угрупування UAC-0010 (Armageddon) – серед тих, які від початку повномасштабного воєнного вторгнення росії в Україну активно атакують критичну інформаційну інфраструктуру нашої країни. Під час кібератак хакери використовують болючі для українців теми. Також зафіксовані випадки кібератак цієї групи проти країн ЄС», — повідомляють в Держспецзв'язку.

Російські медіа та прокремлівські телеграм-канали поширили заяву Посольства Росії в США, у який йдеться, що Росія нібито «не займалася кіберагресією». Цією заявою російська установа намагалася заперечити, що російські хакери атакували супутникову мережу KA-SAT. Нагадаємо, що про злам було відомо ще в березні 2022 року. Насправді високий представник ЄС із питань зовнішньої політики та політики безпеки Жозеп Боррель повідомив, що Росія 24 лютого за годину до повномасштабного вторгнення в Україну здійснила кібератаку на супутникову мережу KA-SAT, що керується Viasat. Атака, за його даними, спричинила збої у зв'язку між декількома державними органами, підприємствами та користувачами в Україні, а також торкнулася кількох держав-членів ЄС.

Заяви російського посольства, що Росія буцімто використовує «інформаційно-комунікаційні технології виключно на благо розвитку світової спільноти» — відверта брехня. Лише перед початком повномасштабного вторгнення російських військ в Україну, за даними Microsoft, щонайменше шість хакерських угруповань, пов'язаних з РФ, здійснили 237 кібератак проти українських підприємств та державних установ. А за перші півтора місяця від початку повномасштабної війни Україна зазнала 362 кібератак. Служба безпеки України, своєю чергою, повідомила, що спецслужби Росії планували знищити весь кіберзахист України: у ніч на 24 лютого зафіксована найбільша кількість хакерських атак на українські системи.

Спроби Росії перекласти відповідальність на США, говорячи, що саме Америка є «одним із головних джерел глобальних кіберзагроз» це також маніпуляція. Адже Центр безпеки комунікацій Канади раніше повідомляв, що Росія, Китай та Іран відповідальні за більшість кіберзагроз проти демократичних процесів у всьому світі.

Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, виявила факт масового розповсюдження електронних листів із тематикою «хімічної атаки». Листи містять посилання на XLS-документ із макросом, відкриття якого призведе до ураження комп'ютера шкідливою програмою JesterStealer. Фахівці CERT-UA зауважують, що завантаження файлів здійснюється зі скомпрометованих вебресурсів. Програма JesterStealer забезпечує викрадення автентифікаційних та інших даних з інтернет-браузерів, MAIL/FTP/VPN-клієнтів, криптовалютних гаманців, менеджерів паролів, месенджерів, ігрових програм тощо. Викрадені дані передаються зловмиснику в Telegram. Після завершення роботи програма видаляється.

Як повідомляє Національна поліція України, у телеграмі створили фейковий чат-бот кіберполіції — «Народний месник». У відомстві пояснюють, що через справжній бот можна повідомити про місцезнаходження російської техніки або залишені мітки. Загалом українці надіслали в бот понад 47 тисяч повідомлень.

«Через такі результати у загарбників "підгорає", тому вони й створюють фейкові боти Нацполіції. Так вони намагаються хоч якось мінімізувати втрати та отримати ваші повідомлення замість українських правоохоронців. Будьте пильними та не дайте оркам жодного шансу ввести вас в оману. Повідомляйте про дії загарбників лише через офіційні ресурси», — сказали правоохоронці. Як пише MediaSapiens, у поліції закликали звертати увагу на посилання, адже будь-яка відмінність може свідчити, що бот або канал є фейковим.