Группа UAC-0050 атакует бухгалтеров с целью кражи средств

Правительственная группа реагирования на компьютерные чрезвычайные ситуации Украины (CERT-UA) был Мониторинг деятельность группировки UAC-0050 в течение длительного времени.

Деятельность группы включает в себя:

• Кража информации (кибершпионаж).
• Хищение средств.
• Информационно-психологические операции под «брендом» Fire Cells Group.

Нападения на бухгалтеров

Так, в течение сентября-октября 2024 года UAC-0050 в результате несанкционированного доступа к компьютерам бухгалтеров с использованием программного обеспечения REMCOS/TEKTONITRMS было совершено не менее 30 попыток хищения денежных средств со счетов украинских предприятий и физических лиц-предпринимателей путем формирования/подделки финансовых платежей через системы дистанционного банковского обслуживания.

Суммы таких выплат составляют от десятков тысяч до нескольких миллионов гривен, а время хищения может составлять от нескольких дней до нескольких часов с момента первоначальной порчи компьютера.

Таким образом, как минимум UAC-0006 (с 2013 года) и UAC-0050 причастны к хищению денежных средств у физических и юридических лиц. CERT-UA обращает внимание на то, что цепочка хищения денежных средств, в большинстве случаев, предполагает их конвертацию в криптовалюту.

Широкий спектр средств

Возможность финансирования собственных преступлений способствует интенсификации кибератак и возможности приобретения (в том числе лицензионных) программных средств для реализации киберугроз, что объясняет использование широкого спектра программ, таких как: REMCOS, TEKTONITRMS, MEDUZASTEALER, LUMMASTEALER, XENORAT, SECTOPRAT, MARSSTEALER, DARKTRACKRAT и др.

Кроме того, установлено, что информационно-психологические операции, проводимые от имени группы «Огненные ячейки» под видом