Урядова команда реагування CERT-UA повідомила про масове розповсюдження шкідливих електронних листів, що містять конфігураційні файли для віддаленого робочого столу (“.rdp”). Під приціл кібератак потрапили органи державної влади, промислові підприємства та військові структури.
Шкідливі листи виглядають як офіційні повідомлення про інтеграцію з сервісами Amazon або Microsoft та запровадження нових підходів до кібербезпеки, таких як архітектура нульової довіри. Однак, насправді, вони містять шкідливе ПЗ, яке встановлює вихідне з’єднання з сервером зловмисників при запуску RDP-файла. Це дозволяє хакерам отримувати доступ до ресурсів комп’ютера, зокрема дисків, принтерів, буфера обміну та інших пристроїв.
У CERT-UA зазначили, що кібератаки готувалися щонайменше з серпня 2024 року і мають широку географічну поширеність. Це свідчить про глобальний характер загрози, яка не обмежується лише Україною.
Рекомендації фахівців для захисту
CERT-UA рекомендує вживати таких заходів безпеки для уникнення компрометації:
- Не відкривати підозрілі файли та не надавати їм доступ до ресурсів комп’ютера.
- Блокувати RDP-файли на поштових шлюзах та заборонити їх запуск користувачами.
- Налаштувати обмеження міжмережевого екрана, щоб заборонити підключення через RDP-програму mstsc.exe.
- Використовувати групові політики для заборони перенаправлення ресурсів комп’ютера через RDP.
Фахівці закликають у разі підозри на кібератаку звертатися до CERT-UA за допомогою електронної пошти incidents@cert.gov.ua або за телефоном +38 (044) 281-88-25.
Окрім нової хвилі атак, CERT-UA повідомила про активність угруповання UAC-0050, яке займається кібершпигунством, викраденням коштів та проведенням інформаційно-психологічних операцій під брендом Fire Cells Group.