האנוי מזהירה מפני תוכנה זדונית של Valley RAT המתחזה ל"טיוטת החלטה של ​​קונגרס המפלגה הלאומי ה-14"

זהו טריק שמנצל את הסביבה הפוליטית הרחבה של הציבור כדי להפיץ תוכנות זדוניות, לגנוב מידע ולהוות סיכון לאבטחת מערכות המידע של סוכנויות, ארגונים ויחידים.

תוכנת Valley RAT מתחזה ל"טיוטת החלטה של ​​הקונגרס"

על פי מחלקת אבטחת הסייבר ומניעת פשעי היי-טק (משטרת העיר האנוי ), נוזקת Valley RAT מוסווית בקובץ בשם "DRAFT RESOLUTION OF THE CONGRESS.exe". כאשר המשתמש פותח את הקובץ, הנוזקה מתקינה את עצמה מיד במערכת, מופעלת אוטומטית בכל פעם שהמחשב מופעל ומתחברת לשרת הבקרה (C2) בכתובת 27.124.9.13 (פורט 5689) הנשלט על ידי ההאקר.

מכאן, התוכנה הזדונית יכולה לבצע פעולות מסוכנות: גניבת מידע רגיש ממחשב המשתמש; השתלטות על המחשב; גניבת חשבונות אישיים וארגוניים; איסוף מסמכים פנימיים; המשך הפצת התוכנה הזדונית למכשירים אחרים באותה מערכת.

הגורם המסוכן הוא שממשק הקובץ מוסווה כך שיראה כמו מסמך אדמיניסטרטיבי אמיתי, מה שמקל על בלבול המשתמשים, במיוחד בהקשר של יחידות רבות ששולחות ומקבלות מסמכים כדי להגיב על מסמכים.

התגלו קבצי תוכנה זדוניים חדשים נוספים

באמצעות סריקה מורחבת, גילו הרשויות קבצים זדוניים רבים נוספים בעלי מבנים דומים, אשר נראו כמו מסמכים מנהליים מוכרים: FINANCIAL REPORT2.exe או BUSINESS INSURANCE PAYMENT.exe; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe; TAX DECLARATION SUPPORT.exe; PARTY ACTIVITY EVALUATION DOCUMENT.exe או AUTHORIZATION FORM.exe; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

קבצים אלה נקראים על שם פרטים ספציפיים של עבודת משרד, כספים, ענייני מפלגה, מיסים... מגדילים את האפשרות שמשתמשים יחשבו שמדובר במסמכים פנימיים ויפתחו אותם, ובכך יוצרים תנאים להפצת תוכנות זדוניות.

באמצעות ניתוח טכני, משטרת העיר האנוי העריכה את Valley RAT כמסוכן במיוחד משום שיש לו מאפיינים שהופכים אותו לאיום משמעותי: הסתתרות במערכת, הפעלה אוטומטית עם Windows; מתן אפשרות להאקרים לשלוט מרחוק במכשיר; יכולת הורדה של תוכנות זדוניות נוספות; איסוף אוטומטי של נתונים רגישים ושליחתם לשרת הבקרה; יכולת להקליט הקשות מקלדת, צילום מסך, גניבת סיסמאות השמורות בדפדפן; התפשטות קלה במערכת הרשת הפנימית...

סוכנויות וארגונים רבים משתמשים בדוא"ל פנימי או ב-Zalo או ב-Facebook Messenger כדי להחליף מסמכים, ויוצרים, שלא במתכוון, סביבה נוחה להפצת תוכנות זדוניות אם רק מכונה אחת במערכת נגועה. כדי להבטיח אבטחת מידע, מחלקת אבטחת הסייבר ומניעת פשעי היי-טק, משטרת העיר האנוי, פרסמה המלצות ספציפיות:

אין לפתוח או להוריד קבצים מוזרים, קבצי .exe ממיילים או מרשתות חברתיות, היזהרו במיוחד מקבצים עם הסיומות: .exe; .dll; .bat; .msi... גם אם הקובץ נשלח ממכר (ייתכן שהחשבון נחטף).

בדקו את כל המכשירים והמערכות. בעת זיהוי סימנים חריגים, על המשתמשים להתנתק מיד מהאינטרנט; אין להמשיך להשתמש במכשיר; לדווח לרשויות או למרכז הלאומי לאבטחת סייבר (NCSC).

סרקו את המערכת באמצעות תוכנת אבטחה בעלת מוניטין. ארגונים ואנשים פרטיים צריכים להתקין באופן יזום תוכנות אנטי-וירוס ואנטי-תוכנות זדוניות כגון: Avast (חינמי); AVG (חינמי); Bitdefender (חינמי); Windows Defender (עדכון אחרון). ראוי לציין כי משטרת האנוי ציינה כי תוכנת האנטי-וירוס החינמית של קספרסקי טרם זיהתה סוג זה של תוכנה זדונית.

סרוק ידנית אחר סימני התקפה. בנוסף לשימוש בתוכנות אנטי-וירוס וחומות אש, אנשים צריכים להשתמש ב-Process Explorer כדי לראות תהליכים מוזרים ללא חתימות דיגיטליות; השתמש ב-TCPView כדי לבדוק את החיבור; אם אתה רואה חיבור לכתובת IP 27.124.9.13, עליך לטפל בו באופן מיידי.

מנהלי מערכת צריכים לחסום באופן מיידי את כתובת ה-IP הזדונית. משתמשים צריכים להגדיר את חומת האש לחסום את כל הגישה לכתובת ה-IP 27.124.9.13 כדי למנוע מהתוכנה הזדונית להתחבר לשרת הבקרה.

לחזק את האזהרות הפנימיות. על היחידות להודיע ​​באופן מיידי לקצינים ולעובדים שלא לפתוח מסמכים "מצורפים" הקשורים להערות על מסמכים אם לא ניתן לאמת את המקור.

יש לקבל מידע אזהרה רשמי, לפעול לפי ההמלצות של: משרד הביטחון הציבורי ; משרד המידע והתקשורת; משטרה מקומית; אין לשתף קבצים חשודים ברשתות חברתיות כדי למנוע התפשטות; הגברת הערנות כדי להגן על אבטחת הרשת הלאומית.

הופעתה של נוזקת Valley RAT בדיוק בזמן של הגשת ההערות על טיוטות של הקונגרס הלאומי ה-14 של המפלגה מראה שתוקפי סייבר מנצלים באופן קיצוני את אמון המשתמשים במסמכים פוליטיים ומנהליים.

אבטחת מידע אינה רק באחריותן של סוכנויות ייעודיות, אלא גם חובתו של כל אדם המשתמש במכשירים דיגיטליים. זיהוי נכון, פעולה מהירה ודיווח בזמן יתרום משמעותית להגנה על מערכת המידע הלאומית ולשמירה על האבטחה במרחב הקיברנטי.