Forklog
2022-01-27 16:18:52

CERT-UA обнаружила потенциальную связь между атакой на украинские сайты и «минером с биржи WEX»

Между организатором январской серии атак на украинские правительственные сайты и "минером", действующим от имени клиента обанкротившейся биткоин-биржи WEX, может существовать связь. Об этом говорится в отчете Команды реагирования на киберугрозы в Украине CERT-UA. Исследователи провели сравнительный анализ компилятора, расширений файлов и некоторых функций шифровальщика WhisperKill, использованного в ходе атак на ряд министерств и ведомств Украины в ночь на 14 января.  Он показал, что вредонос более чем на 80% схож с ориентированным на англоязычных пользователей зловредом Encrpt3d, также известным как WhiteBlackCrypt, активность которого пришлась на март 2021 года.  "WhiteBlackCrypt является фейковым шифровальщиком, поскольку он не сохраняет AES-ключ, что фактически делает восстановление зашифрованных файлов невозможным", – отметили в CERT-UA. Сообщение о выкупе, распространяемое операторами WhiteBlackCrypt, содержит украинский трезубец и адрес кошелька 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn.  Данные: CERT-UA. Этот же биткоин-кошелек, начиная с конца 2019 года, упоминался в серии ложных сообщений о минировании объектов инфраструктуры в различных регионах РФ якобы от имени клиента обанкротившейся биткоин-биржи WEX. Данные: CERT-UA. При этом исследователи допустили, что находившийся с 2019 года в открытом доступе кошелек "минера" мог использоваться третьей стороной:  "Сложно представить, чтобы настоящие злоумышленники более двух лет не меняли кошелек для получения выкупа". Эксперты CERT-UA добавили, что злоумышленники намеренно использовали морфологическое сходство WhisperKill и WhiteBlackCrypt для обвинения украинской стороны в атаках на собственные госструктуры. Аналитики опровергли причастность ССО ВС Украины к хакерской группировке Encrpt3d. Напомним, серия ложных минирований на территории РФ началась с ноября 2019 года, вскоре после публикации расследования BBC о возможной причастности предпринимателя Константина Малофеева и сотрудников ФСБ к краже средств пользователей биржи WEX (правопреемницы BTC-e) на общую сумму $450 млн. Неизвестный «минер» потребовал выплатить ему 120 BTC, украденных с биржи. С момента создания на кошелек «минера» поступило 0,11 BTC. Последнее поступление датировано июнем 2021 года. В дальнейшем средства ушли на адреса бирж с обязательной верификацией пользователей, в частности, Binance, Kraken и Kucoin. На днях неизвестные злоумышленники разослали по различным регионам РФ ложные сообщений о минировании от имени CEO Indefibank Сергея Менделеева. Он связал это с проводимыми им расследованиями об исчезнувших средствах с биржи WEX. В ночь на 14 января 2022 года неизвестные хакеры атаковали более 70 государственных ресурсов Украины, десять из которых подверглись несанкционированному вмешательству. По заверению Минцифры, контент сайтов при этом изменен не был и утечки персональных данных не произошло. Однако 21 января в сети появилось объявление о продаже базы данных государственного портала "Дія" на 2,6 млн строк. В одном из выложенных продавцом архивов содержались записи о 100 000 пользователей сервиса за 2020 и 2021 год. База включает электронную почту, номер телефона, ФИО, ИНН, серию, номер и дату выдачи паспорта, а также место проживания.  Данные: DOU. Представители Минцифры и киберполиции заявили, что выложенные архивы представляют компиляцию баз данных, слитых в 2019 году. Архитектор программного обеспечения и блогер Владимир Рожков в комментарии ForkLog рассказал, что часть пользователей интернет-сообщества программистов DOU подтвердила верность данных. Его коллега связался с людьми, документы которых были выданы в 2021 году, и те, кто ему ответил, также подтвердили, что данные настоящие. "Кроме этого, база содержит уникальный идентификатор, совпадающий с тем, который выдает портал "Дія" при логине в систему. Мой коллега разработал сервис, где можно сравнить свой user ID с имеющимися в базе. Часть пользователей подтвердила совпадения. Таким образом есть все основания полагать, что база настоящая и относится именно к "Дії". Каким образом к ней получили доступ, мне неизвестно", – заявил он.

Holen Sie sich Crypto Newsletter
Lesen Sie den Haftungsausschluss : Alle hierin bereitgestellten Inhalte unserer Website, Hyperlinks, zugehörige Anwendungen, Foren, Blogs, Social-Media-Konten und andere Plattformen („Website“) dienen ausschließlich Ihrer allgemeinen Information und werden aus Quellen Dritter bezogen. Wir geben keinerlei Garantien in Bezug auf unseren Inhalt, einschließlich, aber nicht beschränkt auf Genauigkeit und Aktualität. Kein Teil der Inhalte, die wir zur Verfügung stellen, stellt Finanzberatung, Rechtsberatung oder eine andere Form der Beratung dar, die für Ihr spezifisches Vertrauen zu irgendeinem Zweck bestimmt ist. Die Verwendung oder das Vertrauen in unsere Inhalte erfolgt ausschließlich auf eigenes Risiko und Ermessen. Sie sollten Ihre eigenen Untersuchungen durchführen, unsere Inhalte prüfen, analysieren und überprüfen, bevor Sie sich darauf verlassen. Der Handel ist eine sehr riskante Aktivität, die zu erheblichen Verlusten führen kann. Konsultieren Sie daher Ihren Finanzberater, bevor Sie eine Entscheidung treffen. Kein Inhalt unserer Website ist als Aufforderung oder Angebot zu verstehen