Команда CERT-UA зафіксувала нову хвилю цілеспрямованих кібератак, що відбувалися між березнем та квітнем. Основною метою цієї кампанії є викрадення чутливих даних з інформаційних систем. Об'єктами атак стали українські урядові організації та муніципальні медичні установи, зокрема поліклініки та лікарні швидкої допомоги. Діяльність, спрямована на компрометацію критично важливої інформації, приписується групі кіберзловмисників, ідентифікованій як UAC-0247.
У рамках кампанії UAC-0247 розповсюджується спеціалізоване шкідливе програмне забезпечення, призначене для викрадення інформації. Це програмне забезпечення має функціонал для ексфільтрації даних з наступних джерел:
- Веб-браузери на базі Chromium: включаючи збережені паролі, файли cookie, історію переглядів та іншу конфіденційну інформацію користувачів.
- Месенджер WhatsApp: зловмисники націлені на викрадення даних листування та інших чутливих даних, що зберігаються або обробляються через цей додаток.
CERT-UA продовжує аналіз виявлених зразків шкідливого ПЗ та, ймовірно, надасть більш детальні технічні індикатори компрометації (IoC) у своїх офіційних звітах для фахівців з кібербезпеки.
Безпосередня загроза від діяльності UAC-0247 стосується:
- Державних та місцевих органів влади України: ризик витоку службової інформації, компрометації облікових записів та порушення операційної діяльності.
- Муніципальних закладів охорони здоров'я: включаючи поліклініки, лікарні та центри екстреної медичної допомоги. Це створює загрозу витоку персональних даних пацієнтів, медичних записів та іншої конфіденційної інформації, що може мати серйозні наслідки для приватності та безпеки громадян.
Успішна атака може призвести не лише до фінансових втрат та порушення операційної діяльності, а й до втрати довіри, репутаційних ризиків та значних юридичних наслідків через витік персональних даних.
Для мінімізації ризиків компрометації та захисту від подібних атак CERT-UA та експерти з кібербезпеки рекомендують:
- Регулярне оновлення ПЗ: Забезпечте своєчасне оновлення операційних систем, веб-браузерів (особливо Chromium-базованих) та месенджерів (WhatsApp) до останніх версій.
- Антивірусний захист: Використовуйте надійні антивірусні рішення та регулярно оновлюйте їхні бази даних. Проводьте повне сканування систем.
- Багатофакторна автентифікація (MFA): Запровадьте MFA для всіх критично важливих облікових записів, особливо для доступу до урядових та медичних систем.
- Обмеження прав доступу: Застосовуйте принцип найменших привілеїв для користувачів та систем, надаючи лише необхідні дозволи.
- Навчання персоналу: Проводьте регулярні тренінги з кібергігієни, акцентуючи увагу на розпізнаванні фішингових атак, підозрілих вкладень та посилань.
- Резервне копіювання: Регулярно створюйте та перевіряйте резервні копії критичних даних.
- Моніторинг мережі: Відстежуйте аномальну активність у мережі та на кінцевих точках.
- Співпраця з CERT-UA: У разі виявлення підозрілої активності або ознак компрометації негайно повідомляйте CERT-UA для отримання допомоги та координації дій.