Державна служба спеціального зв`язку та захисту інформації України повідомляє: на початку листопада фахівці національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA виявили факти розповсюдження небезпечних електронних листів з темою «Наказ № 332» серед навчальних закладів (переважно Сумської області) та органів державної влади.

Листи містять посилання на Google Drive із ZIP-архівом, завантаження якого в кінцевому підсумку призводить до ураження пристроїв кількома шкідливими програмами, а саме:

• LAZAGNE (для викрадення збережених паролів);
• NET-програма (для викрадення та передавання зловмисникам файлів з певними типами розширень);
• бекдор GAMYBEAR (дає можливість збирати інформацію про пристрій та віддалено керувати комп’ютером).

Фахівці встановили, що листи розсилалися зі скомпрометованого облікового запису поштового сервісу Gmail, який використовувався в одному з вищих навчальних закладів згаданого регіону.

Дослідження показало, що первинне зараження сталося ще 26.05.2025 року, коли власник акаунту відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області. Відтоді зловмисники мали тривалий віддалений доступ до систем навчального закладу й могли використовувати його інфраструктуру для нових кібератак.

У CERT-UA наголошують, що причиною таких інцидентів стає систематичне ігнорування базових заходів кіберзахисту – невиконання рекомендацій щодо налаштування захисту Windows, відсутність двофакторної автентифікації, запуск небезпечних файлів тощо.

Також часто порушуються вимоги щодо обов’язкового інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в ІКС організацій України. Це негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками.

Більше деталей щодо кібератаки – на сайті CERT-UA за посиланням