Хакеры разослали опасные письма учебным заведениям: как работала схема атаки
В одной из областей Украины учебные заведения получили опасные письма от хакеров (фото: Getty Images)
Украинцам рассказали о массовой рассылке хакерами опасных электронных писем от скомпрометированного аккаунта в учебные заведения (преимущественно - в одной из областей) и органы государственной власти.
Об этом сообщает РБК-Украина со ссылкой на пресс-службу Государственной службы специальной связи и защиты информации Украины.
О каких опасных письмах идет речь
Согласно информации Госспецсвязи, в первой декаде ноября хакеры атаковали:
- учебные заведения (преимущественно Сумской области);
- органы государственной власти.
Уточняется, что факты распространения опасных электронных писем с темой "Наказ №332" обнаружили специалисты национальной команды реагирования на киберинциденты, кибератаки и киберугрозы CERT-UA.
Речь идет о "массовой рассылке опасных электронных писем со скомпрометированного аккаунта".
Пример цепи поражения (иллюстрация: cert.gov.ua)
Как работала схема хакеров
Эксперты рассказали, что письма от хакеров содержат ссылку на Google Drive для загрузки ZIP-архива "Наказ_№332_07.11.2025_Концепція_положення.zip" и пароль к нему.
"Загрузка которого в конечном итоге приводит к поражению устройств несколькими вредоносными программами", - объяснили украинцам.
В Госспецсвязи добавили, что речь идет про:
- LAZAGNE - для похищения сохраненных паролей;
- .NET-программу - для похищения и передачи злоумышленникам файлов с определенными типами расширений;
- бэкдор GAMYBEAR - дает возможность собирать информацию об устройстве и удаленно управлять компьютером.
Исследование инфицированного компьютера (иллюстрация: cert.gov.ua)
С какой почты рассылались такие письма
Специалисты установили, что опасные письма рассылались со скомпрометированной учетной записи почтового сервиса Gmail (который использовался в одном из высших учебных заведений упомянутого региона).
При этом исследование показало, что первичное заражение произошло еще 26 мая 2025 года - когда владелец аккаунта открыл вредоносное письмо, присланное якобы от Управления ГСЧС в Сумской области.
С тех пор злоумышленники:
- имели длительный удаленный доступ к системам учебного заведения;
- могли использовать его инфраструктуру для новых кибератак.
Пример электронного письма от 26.05.2025 года (иллюстрация: cert.gov.ua)
Основные причины подобных инцидентов
В завершение в CERT-UA отметили, что причиной таких инцидентов становится систематическое игнорирование базовых мер киберзащиты:
- невыполнение рекомендаций по настройке защиты Windows;
- отсутствие двухфакторной аутентификации;
- запуск опасных файлов и т.п.
Кроме того, часто нарушаются требования об обязательном информировании CERT-UA о выявленных фактах киберинцидентов, кибератак и киберугроз в информационно-коммуникационных системах (ИКС) организаций Украины.
"Это негативно влияет на возможность принятия неотложных мер реагирования и способствует беспрепятственному пребыванию злоумышленников в ИКС жертв длительное время с последующими негативными последствиями", - подытожили специалисты.
Напомним, ранее украинцев предупредили об опасных случаях вымогательства денег от якобы имени Министерства внутренних дел.
Речь идет о мошеннической схеме, которая блокирует компьютер человека и заставляет его оплатить фейковый штраф.
Другая мошенническая схема - с фейковыми SMS - дает злоумышленникам полный доступ к телефону неосторожного пользователя.
Читайте также, как мошенники научились воровать данные и деньги через QR-коды.
