CERT-UA предупреждает об увеличении количества кибератак на бухгалтера

Идея CERT-UA, которая действует при Государственной службе специальной связи, предупреждает значительного роста количества кибератак, связанных с деятельностью финансово мотивированной группы ОАК-0006.

С 20 мая 2024 года эксперты CERT-UA зафиксировали две масштабные кампании по распространению вредоносной программы SMOKELOADER.

Как происходит заражение

Злоумышленники рассылают электронные письма, содержащие ZIP-архивы с опасным содержимым:

• IMG-файлы, содержащие EXE-файлы с вредоносным кодом;
• Документы ACCDB (Microsoft Access) с макросами, выполняющими команды PowerShell для загрузки и запуска EXE-файлов.

После заражения на компьютер загружаются другие вредоносные программы, такие как TALESHOT и RMS.

На данный момент ботнет UAC-0006 включает в себя несколько сотен зараженных компьютеров. Высока вероятность, что в ближайшее время злоумышленники активизируют мошеннические схемы с использованием систем ДБО.

Что делать

CERT-UA призывает руководителей бизнеса принять срочные меры по повышению кибербезопасности автоматизированных рабочих мест бухгалтеров:

• проверять компьютеры на наличие признаков компрометации;
• Внедрить необходимые политики и механизмы защиты.

Группа UAC-0006 занимает первое место среди киберпреступников финансового сектора по активности. Цель преступников — похитить средства со счетов украинских предприятий с использованием вредоносного ПО в особо крупных размерах.

Бывают случаи, когда на компьютерах с миллионными платежами нет даже антивирусной программы. Более подробно методы злоумышленников описаны в статье CERT-UA.

В период с августа по октябрь 2023 года группировка неоднократно пыталась похитить десятки миллионов гривен.