Il Computer Emergency Response Team dell'Ucraina (CERT-UA) ha emesso un avviso riguardante una nuova ondata di attacchi informatici in cui attori malevoli si spacciano per l'agenzia di sicurezza cibernetica inviando richieste AnyDesk fraudolente. Queste richieste, presentate come parte di presunti audit per valutare il "livello di sicurezza" delle aziende, sono in realtà tentativi di ingegneria sociale per sfruttare la fiducia degli utenti.

CERT-UA ha sottolineato che, sebbene l'agenzia utilizzi effettivamente software di accesso remoto come AnyDesk in alcune situazioni, tali azioni vengono intraprese solo dopo aver ottenuto l'accordo preventivo con i proprietari degli oggetti di difesa cibernetica attraverso canali di comunicazione ufficialmente approvati. Perché l'attacco abbia successo, è necessario che il software di accesso remoto AnyDesk sia installato e attivo sul computer della vittima. Inoltre, l'attaccante deve essere in possesso dell'identificativo AnyDesk del bersaglio, suggerendo che potrebbero dover ottenere l'identificativo attraverso altri metodi.

Per ridurre il rischio associato a questi attacchi, è essenziale che i programmi di accesso remoto siano attivati solo per la durata del loro utilizzo e che l'accesso remoto sia coordinato tramite canali di comunicazione ufficiali. Questa campagna di attacchi arriva nel contesto di un aumento significativo degli incidenti informatici rilevati in Ucraina nel 2024, con il centro di risposta agli incidenti dell'agenzia che ha registrato oltre 1.042 eventi. Il codice malevolo e i tentativi di intrusione hanno rappresentato oltre il 75% degli eventi.

Nel 2024, i gruppi di minacce informatiche più attivi erano UAC-0010, UAC-0050 e UAC-0006, specializzati in spionaggio informatico, furto finanziario e operazioni di informazione-psicologiche. UAC-0010, noto anche come Aqua Blizzard e Gamaredon, è stato responsabile di 277 incidenti, mentre UAC-0050 e UAC-0006 sono stati collegati rispettivamente a 99 e 174 incidenti.

Recentemente, è stato scoperto un nuovo gruppo di domini .shop associati al gruppo di hacker pro-Russia noto come GhostWriter. Questo gruppo è stato collegato a campagne disparate che hanno preso di mira l'Ucraina, utilizzando lo stesso dominio di primo livello generico, lo stesso registrar e gli stessi server di nome Cloudflare. Inoltre, il gruppo ha configurato una directory robots.txt su tutti i server identificati.

Con il conflitto russo-ucraino che si avvicina alla fine del terzo anno, sono stati registrati attacchi informatici anche contro la Russia. Questi attacchi mirano a rubare dati sensibili e a interrompere le operazioni aziendali, spesso tramite l'uso di ransomware.