Схожість ПЗ атаки на українські держсайти з WhiteBlackCrypt свідчить про провокаційні спроби представити Україну її організатором - CERT-UA

Шкідлива програма, яку використовували в процесі хакерської атаки на держсайти в Україні, більше ніж на 80% збігається з фейковим шифрувальником WhiteBlackCrypt Ransom, запущеним у березні 2021 року, зазначається в повідомленні урядової команди.

Фахівці CERT-UA дійшли висновку, що шкідлива програма WhisperKill більше ніж на 80% схожа на шкідливу програму Encrpt3d Ransomware, також відому як WhiteBlackCrypt Ransom, орієнтовану на англомовних користувачів, активність якої припала на березень 2021 року.

У CERT-UA наголошують, що повідомлення про викуп, яке відображає шкідлива програма WhiteBlackCrypt, містить тризуб, а також адресу Bitcoin-гаманця, використовуваного невстановленим хакером у 2019 році під час мінування будівель у Росії для повернення російським олігархом Костянтином Малофєєвим 120 біткоїнів, до викрадення яких останній був причетний у межах історії з криптобіржею WEX.

У CERT-UA також зазначили, що наявність Bitcoin-гаманця мінера-вимагача у публічному доступі з 2019 року уможливлює його використання будь-ким: складно уявити, щоб справжні зловмисники понад два роки не змінювали гаманців для отримання викупу.

"Отже, умисне застосування 13-14 січня 2022 року шкідливої програми WhisperKill, що має морфологічні схожості зі шкідливою програмою WhiteBlackCrypt і використання якої маніпулятивно асоційовано з Силами спеціальних операцій ЗС України, є спробою провокації та перекручування дійсності з метою звинуватити Україну в атаках 13-14 січня 2022 року", - наголошують у CERT-UA.

У CERT-UA також повідомили, що в першій декаді січня 2022 року невстановлена особа, яка представилася раніше згаданим мінером-вимагачем, надіслала провокаційні листи до українських організацій із закликом до атак проти Росії.

Урядова команда реагування на надзвичайні комп'ютерні події CERT-UA продовжує аналізувати дані, отримані з атакованих відомств, для атрибуції кібератаки.

Як повідомлялося, у ніч на 14 січня відбулася глобальна атака хакерів на сайти уряду України. Не працювали сайти Міносвіти, МЗС, Державної служби з надзвичайних ситуацій, Кабінету Міністрів, Міненерго, а також сайт "Дія".

Міністерство цифрової трансформації України спростовує витік бази персональних даних українців, вважаючи цю інформацію провокацією та продовженням гібридної війни.

Раніше в мережі з'явилася інформація про те, що новий користувач одного з тематичних форумів під ніком FreeCivillian розмістив оголошення про продаж бази персональних даних громадян України, яка, зокрема, за його заявою, містить 2,6 млн записів із реєстру державного порталу "Дія".

За даними Держспецзв'язку, від кібератаки з 13 на 14 січня постраждали 22 сайти органів держвлади, ще 70 відключили за наказом кібербезпеки.

Держспецзв'язку також заявила про ймовірну причетність російських хакерських угруповань до кібератаки, що відбулася в ніч із 13 на 14 січня, на державні сайти України.