Forklog
2022-01-27 16:18:52

CERT-UA обнаружила потенциальную связь между атакой на украинские сайты и «минером с биржи WEX»

Между организатором январской серии атак на украинские правительственные сайты и "минером", действующим от имени клиента обанкротившейся биткоин-биржи WEX, может существовать связь. Об этом говорится в отчете Команды реагирования на киберугрозы в Украине CERT-UA. Исследователи провели сравнительный анализ компилятора, расширений файлов и некоторых функций шифровальщика WhisperKill, использованного в ходе атак на ряд министерств и ведомств Украины в ночь на 14 января.  Он показал, что вредонос более чем на 80% схож с ориентированным на англоязычных пользователей зловредом Encrpt3d, также известным как WhiteBlackCrypt, активность которого пришлась на март 2021 года.  "WhiteBlackCrypt является фейковым шифровальщиком, поскольку он не сохраняет AES-ключ, что фактически делает восстановление зашифрованных файлов невозможным", – отметили в CERT-UA. Сообщение о выкупе, распространяемое операторами WhiteBlackCrypt, содержит украинский трезубец и адрес кошелька 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn.  Данные: CERT-UA. Этот же биткоин-кошелек, начиная с конца 2019 года, упоминался в серии ложных сообщений о минировании объектов инфраструктуры в различных регионах РФ якобы от имени клиента обанкротившейся биткоин-биржи WEX. Данные: CERT-UA. При этом исследователи допустили, что находившийся с 2019 года в открытом доступе кошелек "минера" мог использоваться третьей стороной:  "Сложно представить, чтобы настоящие злоумышленники более двух лет не меняли кошелек для получения выкупа". Эксперты CERT-UA добавили, что злоумышленники намеренно использовали морфологическое сходство WhisperKill и WhiteBlackCrypt для обвинения украинской стороны в атаках на собственные госструктуры. Аналитики опровергли причастность ССО ВС Украины к хакерской группировке Encrpt3d. Напомним, серия ложных минирований на территории РФ началась с ноября 2019 года, вскоре после публикации расследования BBC о возможной причастности предпринимателя Константина Малофеева и сотрудников ФСБ к краже средств пользователей биржи WEX (правопреемницы BTC-e) на общую сумму $450 млн. Неизвестный «минер» потребовал выплатить ему 120 BTC, украденных с биржи. С момента создания на кошелек «минера» поступило 0,11 BTC. Последнее поступление датировано июнем 2021 года. В дальнейшем средства ушли на адреса бирж с обязательной верификацией пользователей, в частности, Binance, Kraken и Kucoin. На днях неизвестные злоумышленники разослали по различным регионам РФ ложные сообщений о минировании от имени CEO Indefibank Сергея Менделеева. Он связал это с проводимыми им расследованиями об исчезнувших средствах с биржи WEX. В ночь на 14 января 2022 года неизвестные хакеры атаковали более 70 государственных ресурсов Украины, десять из которых подверглись несанкционированному вмешательству. По заверению Минцифры, контент сайтов при этом изменен не был и утечки персональных данных не произошло. Однако 21 января в сети появилось объявление о продаже базы данных государственного портала "Дія" на 2,6 млн строк. В одном из выложенных продавцом архивов содержались записи о 100 000 пользователей сервиса за 2020 и 2021 год. База включает электронную почту, номер телефона, ФИО, ИНН, серию, номер и дату выдачи паспорта, а также место проживания.  Данные: DOU. Представители Минцифры и киберполиции заявили, что выложенные архивы представляют компиляцию баз данных, слитых в 2019 году. Архитектор программного обеспечения и блогер Владимир Рожков в комментарии ForkLog рассказал, что часть пользователей интернет-сообщества программистов DOU подтвердила верность данных. Его коллега связался с людьми, документы которых были выданы в 2021 году, и те, кто ему ответил, также подтвердили, что данные настоящие. "Кроме этого, база содержит уникальный идентификатор, совпадающий с тем, который выдает портал "Дія" при логине в систему. Мой коллега разработал сервис, где можно сравнить свой user ID с имеющимися в базе. Часть пользователей подтвердила совпадения. Таким образом есть все основания полагать, что база настоящая и относится именно к "Дії". Каким образом к ней получили доступ, мне неизвестно", – заявил он.

Crypto 뉴스 레터 받기
면책 조항 읽기 : 본 웹 사이트, 하이퍼 링크 사이트, 관련 응용 프로그램, 포럼, 블로그, 소셜 미디어 계정 및 기타 플랫폼 (이하 "사이트")에 제공된 모든 콘텐츠는 제 3 자 출처에서 구입 한 일반적인 정보 용입니다. 우리는 정확성과 업데이트 성을 포함하여 우리의 콘텐츠와 관련하여 어떠한 종류의 보증도하지 않습니다. 우리가 제공하는 컨텐츠의 어떤 부분도 금융 조언, 법률 자문 또는 기타 용도에 대한 귀하의 특정 신뢰를위한 다른 형태의 조언을 구성하지 않습니다. 당사 콘텐츠의 사용 또는 의존은 전적으로 귀하의 책임과 재량에 달려 있습니다. 당신은 그들에게 의존하기 전에 우리 자신의 연구를 수행하고, 검토하고, 분석하고, 검증해야합니다. 거래는 큰 손실로 이어질 수있는 매우 위험한 활동이므로 결정을 내리기 전에 재무 고문에게 문의하십시오. 본 사이트의 어떠한 콘텐츠도 모집 또는 제공을 목적으로하지 않습니다.