Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA, яка діє при Держспецзв’язку, попереджає про значне зростання кількості кібератак, пов'язаних з діяльністю фінансово мотивованого угруповання UAC-0006.
З 20 травня 2024 року фахівці CERT-UA зафіксували дві масштабні кампанії з розповсюдження шкідливого програмного забезпечення SMOKELOADER.
Зловмисники розсилають електронні листи, які містять ZIP-архіви з небезпечним вмістом:
- .IMG-файли, в яких містяться EXE-файли зі шкідливим кодом;
- .ACCDB-документи (Microsoft Access) з макросами, які виконують PowerShell-команди для завантаження та запуску EXE-файлів.
Після успішного зараження на комп'ютер довантажуються інші шкідливі програми, такі як TALESHOT та RMS.
Наразі бот-мережа UAC-0006 налічує декілька сотень заражених комп'ютерів. Існує висока ймовірність, що найближчим часом зловмисники активізують шахрайські схеми з використанням систем дистанційного банківського обслуговування.
CERT-UA закликає керівників підприємств вжити термінових заходів для підвищення кібербезпеки автоматизованих робочих місць бухгалтерів:
- перевірте комп'ютери на наявність індикаторів компрометації;
- упровадьте необхідні політики та механізми захисту.
Нагадаємо, угруповання UAC-0006 за активністю посідає перше місце серед кіберзловмисників у сфері фінансів. Мета зловмисників – викрадення коштів з рахунків українських підприємств за допомогою шкідливих програм в особливо великих розмірах.
Трапляються випадки, коли комп'ютери з мільйонними платіжками не мають навіть антивірусної програми. У статті CERT-UA більш детально описано методи зловмисників.
Протягом серпня – жовтня 2023 року згадане угруповання вже неодноразово здійснювало спроби викрасти десятки мільйонів гривень.