Урядовою командою реагування на комп'ютерні надзвичайні події України CERT–UA вживаються системні заходи щодо накопичення та проведення аналізу даних про кіберінциденти з метою надання актуальної інформації про кіберзагрози.
Так, протягом березня 2025 року зафіксовано щонайменше три кібератаки у відношенні органів державного управління та об'єктів критичної інфраструктури України, що мали на меті збір та викрадення інформації з комп'ютерів із застосуванням відповідних програмних засобів.
Для реалізації зловмисного задуму з використанням скомпрометованих облікових записів здійснюється розповсюдження електронних листів з посиланнями на публічні файлові сервіси DropMeFiles, Google Drive тощо (деколи посилання містяться в PDF–вкладеннях), відвідування яких призведе до завантаження та запуску VBScript–лоадеру (зазвичай має розширення «.js»). Призначенням останнього є завантаження та запуск PowerShell–скрипта, який забезпечує пошук та вивантаження за допомогою cURL файлів відповідно до списку розширень («*.doc», «*.txt», «*.docx», «*.xls», «*.xlsx», «*.pdf», «*.rtf», «*.odt», «*.csv», «*.ods», «*.ppt», «*.pptx», «*.png», «*.jpg», «*.jpeg»), а також знімків екрану комп'ютера.
Детальне дослідження кіберзагрози дозволило зробити висновок про те, що описана активність здійснюється, щонайменше, з осені 2024 року. При цьому, протягом 2024 року під час здійснення кібератак використовувалися EXE файли, створені за допомогою NSIS-інсталятора, що містили документ–приманку (PDF, JPG), VBScript–стілер, а також програму–графічний редактор "IrfanView", що використовувалася для виготовлення скріншотів (слід зауважити, що з 2025 року функціонал виготовлення знімків екрану реалізовано за допомогою PowerShell).
Основний програмний засіб, версії якого відомі на мовах програмування VBScript та PowerShell та який призначений для викрадення файлів, класифіковано як WRECKSTEEL.
Активність відстежується за ідентифікатором UAC–0219.
Беручи до уваги нерезидентність стілерів як таких, у разі виявлення ознак здійснення кібератак просимо невідкладно інформувати CERT–UA з метою вжиття оперативних заходів кіберзахисту.
Індикатори кіберзагроз за посланням
Джерело: Держспецзв'язку
Дієві поради як захистити свій бізнес від кібератак ми зібрали у матеріалі «Захист бізнесу від кібератак: ключові принципи безпеки компанії»