Українцям розповіли про масове розсилання хакерами небезпечних електронних листів зі скомпрометованого акаунту до навчальних закладів (переважно - в одній з областей) та органів державної влади.

Про це повідомляє РБК-Україна із посиланням на прес-службу Державної служби спеціального зв'язку та захисту інформації України.

Згідно з інформацією Держспецзв'язку, у першій декаді листопада хакери атакували:

• навчальні заклади (переважно Сумської області);
• органи державної влади.

Уточнюється, що факти розповсюдження небезпечних електронних листів з темою "Наказ №332" виявили фахівці національної команди реагування на кіберінциденти, кібератаки та кіберзагрози CERT-UA.

Йдеться про "масове розсилання небезпечних електронних листів зі скомпрометованого акаунту".

Приклад ланцюга ураження (ілюстрація: cert.gov.ua)

Експерти розповіли, що листи від хакерів містять посилання на Google Drive для завантаження ZIP-архіву "Наказ_№332_07.11.2025_Концепція_положення.zip" та пароль до нього.

"Завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами ", - пояснили українцям.

У Держспецзв'язку додали, що йдеться про:

• LAZAGNE - для викрадення збережених паролів;
• .NET-програму - для викрадення та передавання зловмисникам файлів із певними типами розширень;
• бекдор GAMYBEAR - дає можливість збирати інформацію про пристрій та віддалено керувати комп'ютером.

Дослідження інфікованого комп'ютера (ілюстрація: cert.gov.ua)

Фахівці встановили, що небезпечні листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail (який використовувався в одному з вищих навчальних закладів згаданого регіону).

При цьому дослідження показало, що первинне зараження сталося ще 26 травня 2025 року - коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області.

Відтоді зловмисники:

• мали тривалий віддалений доступ до систем навчального закладу;
• могли використовувати його інфраструктуру для нових кібератак.

Приклад електронного листа від 26.05.2025 року (ілюстрація: cert.gov.ua)

Насамкінець у CERT-UA наголосили, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту :

• невиконання рекомендацій щодо налаштування захисту Windows;
• відсутність двофакторної автентифікації;
• запуск небезпечних файлів тощо.

Крім того, часто порушуються вимоги щодо обов'язкового інформування CERT-UA про виявлені факти кіберінцидентів , кібератак та кіберзагроз в інформаційно-комунікаційних системах (ІКС) організацій України.

"Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками", - підсумували фахівці.

Нагадаємо, раніше українців попередили про небезпечні випадки вимагання грошей від буцімто імені Міністерства внутрішніх справ.

Йдеться про шахрайську схему, яка блокує комп'ютер людини та змушує її оплатити фейковий штраф.

Інша шахрайська схема - з фейковими SMS - дає зловмисникам повний доступ до телефона необережного користувача.

Читайте також, як шахраї навчились красти дані та гроші через QR-коди.