Хакери атакують заклади освіти на Сумщині: через скомпрометований акаунт Gmail розсилали небезпечні листи

У першій декаді листопада фахівці національної команди реагування на кіберінциденти CERT-UA зафіксували масове розповсюдження шкідливих електронних листів з темою “Наказ № 332”. 

Про це повідомляє Державна служба спеціального зв’язку та захисту інформації України, передає МОН.

Атака була націлена переважно на навчальні заклади Сумської області та органи державної влади. У листах містилося посилання на Google Drive, де був розміщений ZIP-архів. Його завантаження призводило до зараження пристроїв одразу кількома видами шкідливого програмного забезпечення:

• LAZAGNE – викрадає збережені паролі;
• NET-програма – копіює та передає файли з певними розширеннями;
• бекдор GAMYBEAR – дає змогу збирати інформацію про пристрій і віддалено керувати комп’ютером.

CERT-UA встановила, що розсилання здійснювалося зі скомпрометованого Gmail-акаунту, який належить одному з вищих навчальних закладів регіону. Первинне зараження цього облікового запису сталося ще 26 травня 2025 року, коли його власник відкрив шкідливий лист, надісланий нібито від Управління ДСНС у Сумській області. Після цього зловмисники мали тривалий віддалений доступ до систем університету та використовували його інфраструктуру для нових атак.

У CERT-UA наголошують, що подібні інциденти спричиняє ігнорування базових правил кібербезпеки: відсутність двофакторної автентифікації, неправильні налаштування Windows та відкриття підозрілих файлів.

Також у службі підкреслюють, що організації нерідко не повідомляють CERT-UA про виявлені кіберінциденти, що ускладнює оперативне реагування та дозволяє зловмисникам довго перебувати в системах жертв.

Більше деталей про кібератаку – на сайті CERT-UA за посиланням.

Нагадаємо, раніше медіа “НУШ” нагадувало правила кібергігієни й захисту від хакерів.

Фото – istockphoto