Атака Ministryhack или #attack13 на украинские ресурсы получила продолжение – опубликованы персональные данные граждан на хакерском форуме
На прошлой неделе мы писали об атаке Ministryhack, также известной как #attack13, на веб-сайты и другие ресурсы государственных учреждений Украины. Многие украинцы сразу ощутили на себе эту кибератаку, потому что перестали работать электронные документы, к удобству которых все привыкли. Несмотря на то, что за прошедшую неделю были устранены повреждения многих ресурсов, в ночь с 21 на 22 января украинцам был нанесен новый удар. На хакерском ресурсе RaidForums было опубликовано объявление о продаже за 15 тысяч долларов около 20 гигабайт архивов персональных данных граждан Украины и иностранных граждан.
Всего опубликовано три архива с данными, соответственно, 2,6, 13,5 и 4,1 миллионов граждан. Архивы содержат паспортные данные, телефонные номера, фотографии, данные о физических лицах-предпринимателях и так далее.
По предварительным данных, архивы содержат информацию из разных государственных и частных источников. Предположительно, данные получены с помощью сервисов Дия, путём компрометации eHealth (Министерство здравоохранения, Национальная служба здоровья), ресурсов фискальных органов, компании Китсофт, некоторых банков и так далее. Датировка данных – вплоть до конца декабря 2021 года, хотя есть и устаревшие данные.
Авторы объявления о продаже данных также анонсируют продажу данных ресурсов health.mia.software (государственное предприятие Инфотех), minregion.gov.ua (Министерство развития общин и территорий Украины), wanted.mvs.gov.ua (ресурс розыска министерства внутренних дел Украины), e-driver.hsc.gov.ua (электронный кабинет водителя) и court.gov.ua (ресурс судебной власти Украины).
Продолжаем рассказывать о версиях происхождения атаки и делимся авторитетными рекомендациями по безопасности.
Версия Microsoft
В Microsoft рассказали, что 13 января 2022 года, специалисты компании впервые обнаружили вредоносное программное обеспечение – WhisperGate.
Оно замаскировано под программы-вымогатели, но предназначено не для получения выкупа, а для вывода целевых устройств из строя, путем вайпинга – стирания или перезаписи важных файлов в зараженных системах.
Также стало известно, что вышеупомянутая программа-вайпер сработала в нескольких учреждениях, пострадавших от атаки. Специалисты предполагают, что WhisperGate могла стать частью кибератаки Ministryhack.
Белорусский след
Заместитель секретаря СНБО Украины Сергей Демедюк сообщил агентству Рейтер, что Украина подозревает, что дефейсы были совершены хакерской группой, известной как UNC1151, и GhostWriter — агентом по информационным операциям, связанным с белорусской разведкой.
Однако, специалисты, которые занимаются этим расследованием, сообщают, что пока доказательства не найдены, делать выводы рано. Расследование хакерской атаки на правительственные сайты продолжается.
Рекомендации по кибербезопасности
Жителям Украины рекомендуется:
- установить мобильное приложение мониторинга кредитных статусов и кредитных историй, например, УБКИ;
- подписаться на сервисы мониторинга государственных реестров типа Opendatabot;
- сменить пароли, используемые для аутентификации на государственных ресурсах;
- перегенерировать сертификаты электронной цифровой подписи;
- регулярно изменять упомянутые пароли и перегенерировать сертификаты, особенно до конца зимы 2022 года.
В ответ на злонамеренные киберинциденты в Украине, включая порчу правительственных веб-сайтов и присутствие разрушительного вредоносного ПО в украинских системах, авторитетное агентство CISA опубликовало рекомендации по мерам кибербезопасности для защиты от потенциальных критических угроз. Отчет CISA Insights настоятельно призывает руководителей и сетевых защитников быть настороже в отношении злонамеренной киберактивности и предоставляет контрольный список конкретных действий, которые каждая организация, независимо от сектора или размера, может предпринять немедленно, чтобы:
- уменьшить вероятность разрушительного кибервторжения,
- обнаружить потенциальное вторжение,
- убедиться, что организация готова отреагировать в случае вторжения, и
- максимально повысить устойчивость организации к разрушительным киберинцидентам.
Мы рекомендуем руководителям высшего звена и специалистам по информационной безопасности ознакомиться с бюллетенем CISA Insights и внедрить меры кибербезопасности, указанные в контрольном списке.
Обратитесь к нам за помощью, если у вас не хватает ресурсов или опыта для внедрения этих рекомендаций своими силами.
Подпишитесь на наш канал Телеграм, чтобы не пропустить наши новости.