Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, що діє при Держспецзв’язку, попереджає про діяльність кіберзловмисників, які використовують легітимну програму для віддаленого управління комп'ютерами SuperOps RMM. Мета злочинців — отримати несанкціонований доступ до інформаційних систем українських організацій.
Спільними зусиллями Центру кіберзахисту НБУ та CERT-UA зафіксували та проаналізували кібератаки, в ході яких підприємствам надсилали електронні листи з посиланням на Dropbox, де містився виконуваний файл (.SCR) розміром близько 33 МБ.
При запуску цього файлу на комп'ютері жертви відбувається завантаження, декодування та виконання шкідливого Python-коду, який у свою чергу запускає легітимну програму SuperOps RMM. Це надавало зловмисникам несанкціонований віддалений доступ до комп'ютера жертви.
CERT-UA провела додаткове дослідження та виявила п'ять аналогічних файлів, імена яких містили назви фінансових і страхових установ Європи і США.
Це свідчить про те, що подібні кібератаки відбувались з лютого — березня 2024 року та мають доволі широку географію. Описаний кластер кіберзагроз відстежується за ідентифікатором UAC-0188.
Шукайте в системі «Експертус Головбух» опис робочої ситуації, яка аналогічна вашій, потрібні форму (зразок), довідник, відео. Якщо не знайдете, то можете надіслати звернення до нашої експертної підтримки через Онлайн-помічник
Рекомендації CERT-UA:
- організаціям, які не використовують продукт SuperOps RMM, необхідно впевнитися у відсутності мережевої активності, що пов'язана з доменними іменами: .superops.com, .superops.ai;
- вживайте заходів щодо підвищення кібергігієни співробітників;
- використовуйте та постійно оновлюйте антивірусне програмне забезпечення;
- регулярно оновлюйте операційні системи та програмне забезпечення;
- використовуйте надійні паролі та регулярно їх змінюйте;
- створюйте резервні копії важливих даних.
