Атака Ministryhack або #attack13 на українські ресурси отримала продовження – опубліковано персональні дані громадян на хакерському форумі
Минулого тижня ми писали про атаку Ministryhack, також відому як #attack13, на веб-сайти та інші ресурси державних установ України. Багато українців одразу відчули на собі цю кібератаку, бо перестали працювати електронні документи, до зручності яких усі звикли. Незважаючи на те, що за минулий тиждень було усунено пошкодження багатьох ресурсів, у ніч з 21 на 22 січня українцям було завдано нового удару. На хакерському ресурсі RaidForums було опубліковано оголошення про продаж за 15 тисяч доларів близько 20 гігабайт архівів персональних даних громадян України та іноземних громадян.
Усього опубліковано три архіви з даними, відповідно, 2,6, 13,5 та 4,1 мільйона громадян. Архіви містять паспортні дані, телефонні номери, фотографії, дані про фізичних осіб-підприємців тощо.
За попередніми даними, архіви містять інформацію з різних державних та приватних джерел. Імовірно, дані отримані за допомогою сервісів Дія, шляхом компрометації eHealth (Міністерство охорони здоров’я, Національна служба здоров’я), ресурсів фіскальних органів, компанії Кітсофт, деяких банків і так далі. Датування даних – аж до кінця грудня 2021 року, хоча є й застарілі дані.
Автори оголошення про продаж даних також анонсують продаж даних ресурсів health.mia.software (державне підприємство Інфотех), minregion.gov.ua (Міністерство розвитку громад та територій України), wanted.mvs.gov.ua (ресурс розшуку міністерства внутрішніх справ України), e-driver.hsc.gov.ua (електронний кабінет водія) та court.gov.ua (ресурс судової влади України).
Продовжуємо розповідати про версії походження атаки та ділимося авторитетними рекомендаціями щодо безпеки.
Версія Microsoft
У Microsoft розповіли, що 13 січня 2022 року, фахівці компанії вперше виявили шкідливе програмне забезпечення – WhisperGate.
Воно замасковане під програми-вимагачі, але призначене не для отримання викупу, а для виведення цільових пристроїв із ладу, шляхом вайпінгу – стирання або перезапису важливих файлів у заражених системах.
Також стало відомо, що вищезгадана програма-вайпер спрацювала в кількох установах, що постраждали від атаки. Фахівці припускають, що WhisperGate могла стати частиною кібератаки Ministryhack.
Білоруський слід
Заступник секретаря РНБО України Сергій Демедюк повідомив агентству Рейтер, що Україна підозрює, що дефейси скоєно хакерською групою, відомою як UNC1151, і GhostWriter — агентом із інформаційних операцій, пов’язаним із білоруською розвідкою.
Проте, фахівці, що займаються цим розслідуванням, повідомляють, що доки докази не знайдено, робити висновки зарано. Розслідування атаки хакерів на урядові сайти триває.
Рекомендації щодо кібербезпеки
Жителям України рекомендується:
- встановити мобільний застосунок моніторингу кредитних статусів та кредитних історій, наприклад, УБКІ;
- підписатися на послуги моніторингу державних реєстрів типу Opendatabot;
- змінити паролі, що використовуються для автентифікації на державних ресурсах;
- перегенерувати сертифікати електронного цифрового підпису;
- регулярно змінювати згадані паролі та перегенерувати сертифікати, особливо до кінця зими 2022 року.
У відповідь на зловмисні кіберінциденти в Україні, включаючи псування урядових веб-сайтів та присутність руйнівного шкідливого ПЗ в українських системах, авторитетне агентство CISA опублікувало рекомендації щодо заходів кібербезпеки для захисту від потенційних критичних загроз. Звіт CISA Insights наполегливо закликає керівників та мережевих захисників бути насторожі щодо зловмисної кіберактивності та надає контрольний список конкретних дій, які кожна організація, незалежно від сектора чи розміру, може зробити негайно, щоб:
- зменшити ймовірність руйнівного кібервторгнення,
- виявити потенційне вторгнення,
- переконатися, що організація готова відреагувати в разі вторгнення, та
- максимально підвищити стійкість організації до руйнівних кіберінцидентів.
Ми рекомендуємо керівникам вищої ланки та спеціалістам з інформаційної безпеки ознайомитися з бюлетенем CISA Insights та запровадити заходи кібербезпеки, зазначені в контрольному списку.
Зверніться до нас за допомогою, якщо у вас не вистачає ресурсів або досвіду для впровадження цих рекомендацій самотужки.
Підпишіться на наш канал Телеграм, щоб не пропустити наші новини.