Forklog
2022-01-27 16:18:52

CERT-UA обнаружила потенциальную связь между атакой на украинские сайты и «минером с биржи WEX»

Между организатором январской серии атак на украинские правительственные сайты и "минером", действующим от имени клиента обанкротившейся биткоин-биржи WEX, может существовать связь. Об этом говорится в отчете Команды реагирования на киберугрозы в Украине CERT-UA. Исследователи провели сравнительный анализ компилятора, расширений файлов и некоторых функций шифровальщика WhisperKill, использованного в ходе атак на ряд министерств и ведомств Украины в ночь на 14 января.  Он показал, что вредонос более чем на 80% схож с ориентированным на англоязычных пользователей зловредом Encrpt3d, также известным как WhiteBlackCrypt, активность которого пришлась на март 2021 года.  "WhiteBlackCrypt является фейковым шифровальщиком, поскольку он не сохраняет AES-ключ, что фактически делает восстановление зашифрованных файлов невозможным", – отметили в CERT-UA. Сообщение о выкупе, распространяемое операторами WhiteBlackCrypt, содержит украинский трезубец и адрес кошелька 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn.  Данные: CERT-UA. Этот же биткоин-кошелек, начиная с конца 2019 года, упоминался в серии ложных сообщений о минировании объектов инфраструктуры в различных регионах РФ якобы от имени клиента обанкротившейся биткоин-биржи WEX. Данные: CERT-UA. При этом исследователи допустили, что находившийся с 2019 года в открытом доступе кошелек "минера" мог использоваться третьей стороной:  "Сложно представить, чтобы настоящие злоумышленники более двух лет не меняли кошелек для получения выкупа". Эксперты CERT-UA добавили, что злоумышленники намеренно использовали морфологическое сходство WhisperKill и WhiteBlackCrypt для обвинения украинской стороны в атаках на собственные госструктуры. Аналитики опровергли причастность ССО ВС Украины к хакерской группировке Encrpt3d. Напомним, серия ложных минирований на территории РФ началась с ноября 2019 года, вскоре после публикации расследования BBC о возможной причастности предпринимателя Константина Малофеева и сотрудников ФСБ к краже средств пользователей биржи WEX (правопреемницы BTC-e) на общую сумму $450 млн. Неизвестный «минер» потребовал выплатить ему 120 BTC, украденных с биржи. С момента создания на кошелек «минера» поступило 0,11 BTC. Последнее поступление датировано июнем 2021 года. В дальнейшем средства ушли на адреса бирж с обязательной верификацией пользователей, в частности, Binance, Kraken и Kucoin. На днях неизвестные злоумышленники разослали по различным регионам РФ ложные сообщений о минировании от имени CEO Indefibank Сергея Менделеева. Он связал это с проводимыми им расследованиями об исчезнувших средствах с биржи WEX. В ночь на 14 января 2022 года неизвестные хакеры атаковали более 70 государственных ресурсов Украины, десять из которых подверглись несанкционированному вмешательству. По заверению Минцифры, контент сайтов при этом изменен не был и утечки персональных данных не произошло. Однако 21 января в сети появилось объявление о продаже базы данных государственного портала "Дія" на 2,6 млн строк. В одном из выложенных продавцом архивов содержались записи о 100 000 пользователей сервиса за 2020 и 2021 год. База включает электронную почту, номер телефона, ФИО, ИНН, серию, номер и дату выдачи паспорта, а также место проживания.  Данные: DOU. Представители Минцифры и киберполиции заявили, что выложенные архивы представляют компиляцию баз данных, слитых в 2019 году. Архитектор программного обеспечения и блогер Владимир Рожков в комментарии ForkLog рассказал, что часть пользователей интернет-сообщества программистов DOU подтвердила верность данных. Его коллега связался с людьми, документы которых были выданы в 2021 году, и те, кто ему ответил, также подтвердили, что данные настоящие. "Кроме этого, база содержит уникальный идентификатор, совпадающий с тем, который выдает портал "Дія" при логине в систему. Мой коллега разработал сервис, где можно сравнить свой user ID с имеющимися в базе. Часть пользователей подтвердила совпадения. Таким образом есть все основания полагать, что база настоящая и относится именно к "Дії". Каким образом к ней получили доступ, мне неизвестно", – заявил он.

Get Crypto Newsletter
Read the Disclaimer : All content provided herein our website, hyperlinked sites, associated applications, forums, blogs, social media accounts and other platforms (“Site”) is for your general information only, procured from third party sources. We make no warranties of any kind in relation to our content, including but not limited to accuracy and updatedness. No part of the content that we provide constitutes financial advice, legal advice or any other form of advice meant for your specific reliance for any purpose. Any use or reliance on our content is solely at your own risk and discretion. You should conduct your own research, review, analyse and verify our content before relying on them. Trading is a highly risky activity that can lead to major losses, please therefore consult your financial advisor before making any decision. No content on our Site is meant to be a solicitation or offer.