Кибератака на Украину продолжается: хакеры рассылают вирус с официальных адресов судов

По ссылкам в письме загружается вредоносное программное обеспечение (вирус).

Продолжаются массированные кибератаки, состоявшиеся 13-14 января. С официальных адресов судебной власти происходит рассылка с якобы судебными запросами. Об этом сообщает Центр стратегических коммуникаций и информационной безопасности.

По ссылкам в письме загружается вредоносное программное обеспечение (вирус).

"Проблему усугубляет то, что рассылка происходит с настоящих почтовых серверов судебной власти. Таким образом, письма проходят спам-фильтры и вызывают значительно больше доверия. Возможно, скомпрометированы только отдельные адреса судов, хотя не стоит исключать, что может быть скомпрометирован весь почтовый сервер.

К сожалению, свежие изменения в кодексы, проголосованные Верховной Радой, только усиливают роль электронной почты как официального средства коммуникации в судебном процессе, поэтому подобный вектор атак будет развиваться и в дальнейшем", - отметили в Центре стратегических коммуникаций и информационной безопасности.

Электронные почтовые сообщения содержат ссылку на защищенные паролем RAR и/или ZIP архивы (например, Судебный запрос №997836477463567677822.rar_pass_123.zip), размещены на публичных сервисах Google Drive и DropMeFiles.

Если получатель сообщения загрузит и распакует такой архив, на его компьютере будет установлена ​​программа Remote Utilities. Она, в свою очередь, предоставит скрытый удаленный доступ к устройству третьим лицам. При этом способность программы обновлять активность после перезагрузки компьютера обеспечивается путем создания службы RManService.

Для удаления вредоносной программы, в Госспецсвязи рекомендуют остановить сервис RManService, удалить каталог %PROGRAMFILES(X86)%\Remote Utilities – Host\, удалить ключ реестра HKLM\SOFTWARE\Usoris.

В качестве наглядного примера, Центр приводит письмо, отправителем которого выступает Славянский горрайонный суд Донецкой области (на иллюстрации)

Недостаточно прав для комментирования. Выполните вход на сайт

Please publish modules in offcanvas position.