На комп'ютерах користувачів встановлюється програма Remote Utilities, яка надає прихований віддалений доступ до пристрою третім особам.

Команда реагування на надзвичайні події України CERT-UA, яка функціонує у рамках Державної служби спеціального зв'язку та захисту інформації, попереджає про спроби кібератак на українські організації та установи з використанням легітимної програми Remote Utilities. 

"Продовжуються масовані кібератаки, які були 13-14 січня", – йдеться у повідомленні Центру стратегічних комунікацій та інформаційної безпеки у Telegram-каналі, інформує UAINFO.org.

За його даними, починаючи з п'ятниці, відбувається розсилання із судовими запитами. Попри те, що розсилання ведеться з офіційних адрес судової влади, запити сфальсифіковані, а за посиланнями в листі завантажується шкідливе програмне забезпечення.

"Проблему посилює те, що розсилка відбувається зі справжніх поштових серверів судової влади. Таким чином, листи проходять спам-фільтри та викликають довіру. Можливо, скомпрометовані лише окремі адреси судів, хоча не варто відкидати, що може бути скомпрометований весь поштовий сервер", – зазначається у повідомленні.

Читайте також: Хакери заявили про злом залізничної системи Білорусі: вимагають зупинити нарощування військової сили РФ

У відомстві вважають, що оскільки в Україні законодавством посилено роль електронної пошти як офіційного засобу комунікації в судовому процесі, "подібний вектор атак розвиватиметься і надалі".

Також зазначено, що електронні поштові повідомлення містять посилання на захищені паролем RAR та/або ZIP архіви (наприклад, Судовий запит №997836477463567677822.rar_pass_123.zip), розміщені на публічних сервісах Google Drive та DropMeFiles.

Якщо одержувач повідомлення завантажить та розпакує такий архів, на його комп'ютері буде встановлена ​​програма Remote Utilities. Вона, своєю чергою, надасть прихований віддалений доступ до пристрою третім особам. При цьому здатність програми оновлювати активність після перезавантаження комп'ютера забезпечується шляхом створення служби RManService.

Читайте також: До нещодавньої кібератаки на Україну причетні російські спецслужби – польський дипломат

"Подібні кібератаки є систематичною активністю, яка здійснюється щодо державних органів України (але не тільки) і відстежується CERT-UA за ідентифікатором UAC-0096", – зауважили у службі.

Для видалення шкідливої ​​програми в Держспецзв'язку рекомендують зупинити сервіс RManService, видалити каталог %PROGRAMFILES(X86)%\Remote Utilities – Host\, видалити ключ реєстру HKLM\SOFTWARE\Usoris.

Нагадаємо, в ніч на 14 січня на Україну було здійснено кібератаку, внаслідок якої з ладу вийшли близько 70 урядових та регіональних сайтів. Фахівці спочатку припустили, що це справа кіберзлочинців із РФ. Мета хакерів – дестабілізувати внутрішню ситуацію в країні, посіяти хаос та зневіру у суспільстві. Проте пізніше заступник секретаря РНБО Сергій Демедюк заявив, що за кібератакою може стояти хакерське угруповання UNC1151, пов'язане з білоруським розвідуванням.

Підписуйся на сторінки UAINFO у Facebook, Twitter і YouTube