Атака на госсайты Украины может быть связана с «минером» из России — отчет CERT-UA

Команда реагирования на киберугрозы в Украине CERT-UA сообщила о возможной связи между организатором атаки на сайты украинских министерств и госструктур и «минером», действующим от имени клиента обанкротившейся биткоин-биржи WEX. Об этом сообщает forklog со ссылкой на отчет CERT-UA. Подробности — далее. 

Результаты отчета

По данным издания, эксперты команды провели сравнительный анализ компилятора, расширений файлов и ряда функций шифровальщика WhisperKill, который был использован в рамках хакерских атак в ночь с 13 на 14 января. Исследование показало, что он более чем на 80% схож с другим зловредом, а именно — c Encrpt3d (он же WhiteBlackCrypt), ориентированным на англоязычных пользователей. 

Ниже представлено сообщение о выкупе, которое в марте 2021 года распространяли операторы WhiteBlackCrypt. Как видно из картинки, на изображении есть украинский трезубец и адрес биткойн-кошелька, который, по данным отчета, с конца 2019 года также фигурировал в серии ложных сообщений о минировании объектов инфраструктуры в различных субъектах РФ. 

Предполагается, что злоумышленники специально использовали морфологическое сходство WhisperKill и WhiteBlackCrypt, чтобы обвинить украинскую сторону в атаках на собственные структуры. Аналитики опровергли причастность ССО ВС Украины к хакерам из группы Encrtp3d. 

Напомним, в ночь с 13 на 14 января хакеры «положили» сайты украинских министерства и госструктур. Были сообщения об утечке персональных данных, но, по словам Минцифры, ее не произошло. Позже в сети появилось объявление о продаже базы данных с личной информацией более 2 млн украинцев якобы из базы сервиса «Дiя». Тогда в Минцифры подтвердили утечку, но успокоили пользователей, сказав, что это старые данные. Правда, многие киберэксперты усомнились в словах ведомства, и говорят, что база данных свежая.

С полной версией отчета CERT-UA можно ознакомиться здесь.