Кібербезпека: почалися масові шкідливі розсилки під виглядом інтеграції з відомими сервісами

Урядовою командою реагування CERT-UA отримано інформацію щодо масової розсилки шкідливих повідомлень з вкладенням у вигляді конфігураційних файлів налаштування протоколу віддаленого робочого столу (".rdp").

Під приціл потрапили органи державної влади, підприємства основних галузей промисловості та військові формування.

Листи надходять під виглядом нібито інтеграції із сервісами Amazon, Microsoft та впровадження архітектури нульової довіри.

У разі запуску RDP-файлів встановлюється вихідне з’єднання із сервером зловмисників, при цьому хакери отримують доступ до дисків, мережевих ресурсів, принтерів, COM-портів, аудіопристроїв, буфера обміну та інших ресурсів на локальному комп'ютері. Крім того, це може створити технічні передумови для запуску на ураженому комп’ютері сторонніх програм чи скриптів.

Імовірно, що кібератаки готувалися щонайменше із серпня 2024 року, мають широку географію і не обмежуються Україною.
 
Для захисту від кібератак CERT-UA рекомендує:

• не відкривати підозрілі файли та не надавати їм доступ до ресурсів комп’ютера;
• блокувати RDP-файли на поштовому шлюзі, а також можливість їхнього запуску користувачами;
• налаштувати обмеження міжмережевого екрана для обмеження можливості встановлення RDP-з'єднань програмою mstsc.exe з ресурсами в мережі;
• налаштувати групові політики для заборони перенаправлення ресурсів комп’ютера за допомогою RDP.

Невідкладно звертайтеся до CERT-UA, якщо підозрюєте, що могли стати жертвами атаки:
Електронна пошта: incidents@cert.gov.ua