Понад 100 днів війни: як Україна протистояла атакам на кіберфронті

Компанія ESET ― лідер у галузі інформаційної безпеки ― проаналізувала ситуацію в кіберпросторі від початку вторгнення росії в Україну до сьогодні. Зокрема за цей період українські організації стали ціллю атак багатьох шкідливих програм. Переважно загрози націлювалися на знищення даних, ймовірно, з метою погіршення реагування на вторгнення росії.

Крім цього, хакери спробували атакувати енергетичний сектор України за допомогою розгортання унікального програмного забезпечення на високовольтній електричній підстанції.

З чого все почалося

13 січня 2022 року ряд українських державних установ, неурядових організацій та ІТ-компаній опинилися під прицілом шкідливої програми WhisperGate. За даними Microsoft, загроза виглядає як програма-вимагач та не має механізму відновлення після блокування, а її справжня ціль ― зробити пристрої неробочими. Це може вказувати на зв’язок загрози із державними структурами агресора, а не з групами кіберзлочинців.

Наступного ранку вебресурси багатьох державних установ стали ціллю атак зловмисників, зокрема на цих сайтах з’явилися антиукраїнські зображення та повідомлення. Перед вторгненням державні та приватні організації продовжували бути мішенню кіберзлочинців, включно з атаками на відмову в обслуговуванні (DDoS), які порушили роботу декількох важливих вебсайтів в Україні. У той же час клієнти одного українського банку отримували SMS-повідомлення про фальшиві збої в роботі банкоматів банку.

Що відбувалося у перші години вторгнення

Кібератаки в січні та на початку лютого 2022 року були лише початком. Увечері 23 лютого, після ряду DDoS-атак на українські вебсайти, спеціалісти ESET виявили нову загрозу HermeticWiper для знищення даних на сотнях машин у кількох організаціях в Україні. Тоді як часова мітка показує, що шкідливе програмне забезпечення було створено 28 грудня 2021 року. Тому можна припустити, що атака могла готуватися протягом деякого часу.

У деяких випадках одночасно з HermeticWiper використовувалась програма-вимагач HermeticRansom. Вперше про HermeticRansom стало відомо вранці 24 лютого.  Програма-вимагач використовувалася як приманка, поки загроза HermeticWiper для знищення даних завдавала збитків.

У день, коли відбулося військове вторгнення росії в Україну, дослідники ESET помітили іншу шкідливу програму для знищення даних в українських системах ― IssacWiper. Зокрема загроза була менш складною та не мала подібностей з HermeticWiper.

Активізація кібератак для знищення даних в організаціях України. ESET.

Рис. 1. Повідомлення про викуп у шкідливій програмі HermeticWiper.

Якими були наступні місяці

Дослідники ESET вважають, що різні атаки програм для знищення даних, включно з виявленою 14 березня CaddyWiper, були спрямовані на конкретні організації з метою погіршити їх реагування на вторгнення. Кіберзлочинці були націлені на фінансовий, медіа та державний сектори. Крім цього, спеціалісти ESET виявили зв’язок загроз HermeticWiper та CaddyWiper з групою Sandworm, яку США ідентифікували як частину російської військової розвідки.

Ця ж відома група кіберзлочинців також була причетна до спроби розгортання Industroyer2 на високовольтній електричній підстанції в Україні, викриття якого було вчасно здійснено завдяки співпраці між ESET та CERT-UA. Шкідливе програмне забезпечення є новою версією загрози Industroyer, яка використовувалася для атаки на українську електромережу ще в 2016 році.

Крім цього, відбувалися й інші види шкідливої діяльності, включно з DDoS-атаками, які спричинили збої в роботі медіа-ресурсів, неурядових організацій та телекомунікаційних провайдерів, а також державних установ.

Російська військова розвідка координувала атаки кіберзлочинців на Україну.

Рис. 2. Атаки, виявлені дослідниками ESET до та після вторгнення росії в Україну.

Як шахраї наживаються на війні в Україні

Кіберзлочинці у всьому світі використовують тему війни в Україні у своїх схемах, зокрема створюючи фальшиві сайти та надсилаючи шкідливі спам-листи. Відразу після початку війни спеціалісти ESET виявили ряд підроблених ресурсів, на яких шахраї під виглядом фальшивих благодійних організацій виманювали пожертви для підтримки України.

Також, за даними ESET, було зафіксовано збільшення атак на криптовалютні платформи та поширення шкідливих програм, пов'язаних із криптовалютою. Такий ріст спричинила популярність цифрової валюти серед користувачів, яка стала поширеним способом оплати та надсилання коштів.

Відповідно до рейтингу кіберзагроз, перші місяці цього року показують руйнівну силу кібератак, які відбуваються паралельно з військовим вторгненням. При цьому, кібератаки спрямовані не лише на державні установи, а й на компанії та звичайних користувачів в Україні.

Саме тому спеціалісти ESET рекомендують дотримуватися основних правил онлайн-безпеки, зокрема уникати переходу за підозрілими посиланнями та завантаження вкладених файлів, перевіряти інформацію, перш ніж надсилати гроші, та використовувати надійні рішення для захисту пристроїв.

Дослідники ESET продовжують слідкувати за ситуацією в кіберпросторі з метою захисту організацій та вчасного реагування на інциденти кібербезпеки. У разі виявлення шкідливої діяльності у власних IT-системах українські користувачі продуктів ESET можуть звернутися за допомогою до цілодобової служби технічної підтримки за телефоном +380 44 545 77 26 або електронною адресою sales@eset.ua.

 

Читайте також:

Safetica надає українським компаніям безкоштовні ліцензії на DLP-рішення

Рейтинг Інтернет-загроз: вплив війни в Україні та найактивніші шкідливі програми