ru
Назад к списку

CERT-UA обнаружила потенциальную связь между атакой на украинские сайты и «минером с биржи WEX»

source-logo  forklog.com 27 Январь 2022 17:27, UTC

Между организатором январской серии атак на украинские правительственные сайты и «минером», действующим от имени клиента обанкротившейся биткоин-биржи WEX, может существовать связь. Об этом говорится в отчете Команды реагирования на киберугрозы в Украине CERT-UA.

Исследователи провели сравнительный анализ компилятора, расширений файлов и некоторых функций шифровальщика WhisperKill, использованного в ходе атак на ряд министерств и ведомств Украины в ночь на 14 января. 

Он показал, что вредонос более чем на 80% схож с ориентированным на англоязычных пользователей зловредом Encrpt3d, также известным как WhiteBlackCrypt, активность которого пришлась на март 2021 года. 

«WhiteBlackCrypt является фейковым шифровальщиком, поскольку он не сохраняет AES-ключ, что фактически делает восстановление зашифрованных файлов невозможным», – отметили в CERT-UA.

Сообщение о выкупе, распространяемое операторами WhiteBlackCrypt, содержит украинский трезубец и адрес кошелька 19B5Bt11oUqYnwSXfBgRpwwDGg5Ajirbjn. 


Данные: CERT-UA.

Этот же биткоин-кошелек, начиная с конца 2019 года, упоминался в серии ложных сообщений о минировании объектов инфраструктуры в различных регионах РФ якобы от имени клиента обанкротившейся биткоин-биржи WEX.


Данные: CERT-UA.

При этом исследователи допустили, что находившийся с 2019 года в открытом доступе кошелек «минера» мог использоваться третьей стороной: 

«Сложно представить, чтобы настоящие злоумышленники более двух лет не меняли кошелек для получения выкупа».

Эксперты CERT-UA добавили, что злоумышленники намеренно использовали морфологическое сходство WhisperKill и WhiteBlackCrypt для обвинения украинской стороны в атаках на собственные госструктуры. Аналитики опровергли причастность ССО ВС Украины к хакерской группировке Encrpt3d.

Напомним, серия ложных минирований на территории РФ началась с ноября 2019 года, вскоре после публикации расследования BBC о возможной причастности предпринимателя Константина Малофеева и сотрудников ФСБ к краже средств пользователей биржи WEX (правопреемницы BTC-e) на общую сумму $450 млн. Неизвестный «минер» потребовал выплатить ему 120 BTC, украденных с биржи.

С момента создания на кошелек «минера» поступило 0,11 BTC. Последнее поступление датировано июнем 2021 года.

В дальнейшем средства ушли на адреса бирж с обязательной верификацией пользователей, в частности, Binance, Kraken и Kucoin.

На днях неизвестные злоумышленники разослали по различным регионам РФ ложные сообщений о минировании от имени CEO Indefibank Сергея Менделеева. Он связал это с проводимыми им расследованиями об исчезнувших средствах с биржи WEX.

В ночь на 14 января 2022 года неизвестные хакеры атаковали более 70 государственных ресурсов Украины, десять из которых подверглись несанкционированному вмешательству. По заверению Минцифры, контент сайтов при этом изменен не был и утечки персональных данных не произошло.

Однако 21 января в сети появилось объявление о продаже базы данных государственного портала «Дія» на 2,6 млн строк. В одном из выложенных продавцом архивов содержались записи о 100 000 пользователей сервиса за 2020 и 2021 год. База включает электронную почту, номер телефона, ФИО, ИНН, серию, номер и дату выдачи паспорта, а также место проживания. 


Данные: DOU.

Представители Минцифры и киберполиции заявили, что выложенные архивы представляют компиляцию баз данных, слитых в 2019 году.

Архитектор программного обеспечения и блогер Владимир Рожков в комментарии ForkLog рассказал, что часть пользователей интернет-сообщества программистов DOU подтвердила верность данных. Его коллега связался с людьми, документы которых были выданы в 2021 году, и те, кто ему ответил, также подтвердили, что данные настоящие.

«Кроме этого, база содержит уникальный идентификатор, совпадающий с тем, который выдает портал «Дія» при логине в систему. Мой коллега разработал сервис, где можно сравнить свой user ID с имеющимися в базе. Часть пользователей подтвердила совпадения. Таким образом есть все основания полагать, что база настоящая и относится именно к «Дії». Каким образом к ней получили доступ, мне неизвестно», – заявил он.

forklog.com