Команда реагирования на компьютерные чрезвычайные события (CERT-UA) выпустила предупреждение о возможных кибератаках с использованием шифровальщика Cuba Ransomware на критически важные сети в стране.
Уточняется, что в течение нескольких последних дней CERT-UA фиксирует новую волну фишинговых писем, в которых хакеры выдают себя за пресс-службу Генерального штаба Вооруженных сил Украины, призывая получателей перейти по указанной вредоносной ссылке, сообщает издание Bleeping Computer.
Если пользователь перейдёт по указанной ссылке, то он попадёт на стороннюю веб-страницу, где ему якобы необходимо загрузить документ с названием «Наказ_309.pdf». При этом пользователю демонстрируется поддельное предупреждение о том, что ему сначала надо обновить программное обеспечение для просмотра PDF-файлов.
Затем вредоносный веб-сайт предлагает пользователю нажать кнопку «СКАЧАТЬ», что приведёт к загрузке исполняемого файла («AcroRdrDCx642200120169_uk_UA.exe»), напоминающего установщик специализированного ПО Acrobat Reader. Однако запуск этого файла установит и запустит на устройстве жертвы DLL-файл «rmtpak.dll», который является фирменным вредоносным софтом шифровальщика Cuba Ransomware, известным как «ROMCOM RAT».
Вредонос ROMCOM был впервые обнаружен исследователями компании Palo Alto Networks в августе 2022 года. Эксперты указывали на то, что это «дочерняя компания» операторов программы-вымогателя Cuba, которая использует новое вредоносное ПО Tropical Scorpius. Этот вредонос позволяет хакерам выполнять файловые операции на хосте, красть конфиденциальные файлы, запускать поддельные процессы, запускать обратные оболочки и т. д.
В издании Bleeping Computer отмечают, что изначально этому инциденту кибербезопасности многие американские СМИ придали геополитический оттенок, однако операторы шифровальщика Cuba Ransomware не входят в число хакеров, заявивших об интересе к хактивизму, и они также не принимали чью-либо сторону в конфликте между Россией и Украиной.
Поэтому, как убеждены специалисты Bleeping Computer, подобные атаки с использованием программы-вымогателя Cuba Ransomware носят исключительно финансово мотивированный характер, а не политический.
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | YouTube | Rutube.
