В Украине новая волна вирусной атаки: снова используют бухгалтерское ПО

Специалисты компании ISSP Labs зафиксировали начало новой волны кибератак с использованием официального сайта компании по разработке комплекса бухгалтерского учета Crystal Finance Millennium
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Согласно пресс-релизу компании, при мониторинге вирусной активности была обнаружена рассылка, в которой был идентифицирован интересный образец. Файл с названием "док.zip" загружается вместе с полученным электронным письмом, которое открывает жертва, и является текстовым файлом со скриптом на языке JavaScript. Скрипт является загрузчиком. Его основная задача — скачать и запустить исполняемый файл (модуль) load.exe, который становится окном для злоумышленников.

"Этот вредоносный файл собирает информацию о компьютере жертвы и отправляет ее на командные центры злоумышленников. Параллельно с этим данный файл ждет инструкций от злоумышленников и ожидает команду на установку дополнительных модулей, которые превратят компьютер жертвы в желаемый для хакеров", — сообщил руководитель ISSP Labs Алексей Ясинский.

В пресс-релизе отмечается, что согласно публичной информации, cfm.com.ua — сайт программного комплекса бухгалтерского учета Crystal Finance Millennium. Вероятно, злоумышленники использовали уязвимости сайта для размещения там вредоносных файлов, либо это результат атаки NotPetya 27 июня (злоумышленники оставили для себя возможность несанкционированного входа и теперь им воспользовались).

Компания рекомендует временно заблокировать на файерволах ip-адреса и ссылки, указанные в ее отчете.

"После NotPetya 27 июня еще далеко не все восстановили свои инфраструктуры, не говоря уже об их очистке от присутствия хакеров. Поэтому любая компания может быть как плацдармом, так и целью атаки", — добавил глава совета директоров ISSP Олег Деревянко.

Помимо прочего глава наблюдательного совета "Октава Капитал" Александр Кардаков написал, что вчера в компанию поступали сообщения о массовых почтовых рассылках, содержащих вредоносный код, как правило, в одном из архивных форматов: ARJ, ZIP, 7-ZIP и др.

"Утром наша система защиты электронной почты перехватила подобные сообщения с вложением 7-ZIP, маскирующимися под вложенные счета. Содержимое анализируется, но уже ясно, что оно содержит активную часть, которая пытается установить интернет-соединение", — отметил он.

Среди рекомендаций для пользователей он назвал удаление писем с архивными вложениями с незнакомых и непроверенных адресов, не открывая их.

"Если у вас MS Outlook и MS Exchange, не открывайте файлы непосредственно в приложениях MS Office, обязательно пользуйтесь средствами предварительного просмотра содержимого файла. Если вы системный администратор, настройте вашу почтовую систему на перемещение подозрительных вложений в карантин с последующим углубленным сканированием. По крайней мере, до 28 августа", — резюмировал А.Кардаков.

Ранее Служба безопасности Украины предупредила о возможной новой кибератаки на сети украинских учреждений и предприятий, в связи с чем призывает соблюдать разработанные рекомендации.

"27 июня этого года Украина подверглась масштабной кибератаке с использованием вредоносного программного обеспечения, идентифицированного как компьютерный вирус Petya. При анализе последствий и предпосылок этой атаки было установлено, что ей предшествовал сбор данных о предприятиях Украины ... с последующим их сокрытием в файлах cookies и отправкой на командный сервер. Специалисты СБУ предполагают, что именно эта информация и была целью первой волны кибератаки и может быть использована настоящими инициаторами как для проведения киберразведки, так и в целях дальнейших деструктивных акций", — отмечали в СБУ.