0432news

Українцям розповіли про масове розсилання хакерами небезпечних електронних листів зі скомпрометованого акаунту до навчальних закладів (переважно - в одній з областей) та органів державної влади. Про це повідомляє РБК-Україна із посиланням на прес-службу Державної служби спеціального зв'язку та захисту інформації України. Про які небезпечні листи йдеться Згідно з інформацією Держспецзв'язку, у першій декаді листопада хакери атакували:

• навчальні заклади (переважно Сумської області);
• органи державної влади.

Уточнюється, що факти розповсюдження небезпечних електронних листів з темою "Наказ №332" виявили фахівці національної команди реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA. Йдеться про "масове розсилання небезпечних електронних листів зі скомпрометованого акаунту".

Приклад ланцюга ураження (ілюстрація: cert.gov.ua) Як працювала схема хакерів Експерти розповіли, що листи від хакерів містять посилання на Google Drive для завантаження ZIP-архіву "Наказ_№332_07.11.2025_Концепція_положення.zip" та пароль до нього. "Завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами", - пояснили українцям. У Держспецзв'язку додали, що йдеться про:

• LAZAGNE - для викрадення збережених паролів;
• .NET-програму - для викрадення та передавання зловмисникам файлів із певними типами розширень;
• бекдор GAMYBEAR - дає можливість збирати інформацію про пристрій та віддалено керувати комп'ютером.

Дослідження інфікованого комп'ютера (ілюстрація: cert.gov.ua) З якої пошти розсилались такі листи Фахівці встановили, що небезпечні листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail (який використовувався в одному з вищих навчальних закладів згаданого регіону). При цьому дослідження показало, що первинне зараження сталося ще 26 травня 2025 року - коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області. Відтоді зловмисники:

• мали тривалий віддалений доступ до систем навчального закладу;
• могли використовувати його інфраструктуру для нових кібератак.

Приклад електронного листа від 26.05.2025 року (ілюстрація: cert.gov.ua) Основні причини подібних інцидентів Насамкінець у CERT-UA наголосили, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту:

• невиконання рекомендацій щодо налаштування захисту Windows;
• відсутність двофакторної автентифікації;
• запуск небезпечних файлів тощо.

Крім того, часто порушуються вимоги щодо обов'язкового інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в інформаційно-комунікаційних системах (ІКС) організацій України. "Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками", - підсумували фахівці. Нагадаємо, раніше українців попередили про небезпечні випадки вимагання грошей від буцімто імені Міністерства внутрішніх справ. Йдеться про шахрайську схему, яка блокує комп'ютер людини та змушує її оплатити фейковий штраф. Інша шахрайська схема - з фейковими SMS - дає зловмисникам повний доступ до телефона необережного користувача. Читайте також, як шахраї навчились красти дані та гроші через QR-коди.