![](https://expert.com.ua/wp-content/uploads/2025/01/giganet_banner-900x90-2.png")
Урядовою командою реагування на комп’ютерні надзвичайні події України CERT-UA протягом тривалого часу відстежується активність угрупування UAC-0050.
Діяльність групи включає:
- Викрадення інформації (кібершпигунство).
- Викрадення грошових коштів.
- Інформаційно-психологічні операції під “брендом” Fire Cells Group.
Атаки на бухгалтерів
Так, протягом вересня-жовтня 2024 року UAC-0050 в результаті отримання несанкціонованого доступу до комп’ютерів бухгалтерів з використанням програмного забезпечення REMCOS / TEKTONITRMS здійснено не менше 30 спроб викрадення грошових коштів з рахунків українських підприємств та фізичних осіб-підприємців шляхом формування/підробки фінансових платежів через системи дистанційного банківського обслуговування.
При цьому, суми таких платежів варіюються від десятків тисяч до декількох мільйонів гривень, а час на викрадення може складати від декількох діб до декількох годин з моменту первинного ураження комп’ютера.
Таким чином, викраденням грошових коштів у фізичних та юридичних осіб, займаються, щонайменше, UAC-0006 (з 2013 року) та UAC-0050. CERT-UA звертає увагу, що ланцюг викрадення грошей, в більшості випадків, передбачає їх конвертацію в криптовалюту.
Широкий спектр засобів
Можливість фінансування власних злочинів сприяє інтенсифікації кібератак та можливості закуповувати (в т.ч. ліцензійні) програмні засоби реалізації кіберзагроз, що пояснює використання широкого спектру програм, таких як: REMCOS, TEKTONITRMS, MEDUZASTEALER, LUMMASTEALER, XENORAT, SECTOPRAT, MARSSTEALER, DARKTRACKRAT та ін.
Крім того, встановлено, що інформаційно-психологічні операції, які здійснюються від імені Fire Cells Group під виглядом розповсюдження повідомлень про мінування будівель, замовні вбивства чи завдання фізичної шкоди майну, також є частиною активності угрупування UAC-0050.
Що робити
З метою протидії згаданій кіберзагрозі клієнтам фінансових установ доцільно розглянути запропоновані технічні методи верифікації дій з платежами (створення/модифікація), зокрема, за допомогою додаткової автентифікації через мобільний додаток.
Якщо Ви бухгалтер і Ваша робота передбачає використання систем дистанційного банківського обслуговування, CERT-UA рекомендує утриматись від виконання фінансових операцій до моменту увімкнення додаткової автентифікації платежів, застосування на Вашому комп’ютері рекомендованих (штатних) політик захисту (SRP/AppLocker тощо) та встановлення програмних засобів захисту (EDR, “антивірус” та ін.).
