La un an după ce Rusia a invadat Ucraina, războiul continuă – inclusiv o componentă digitală în continuă evoluție, care are implicații pentru viitorul securității cibernetice în întreaga lume. Printre altele, războiul din Ucraina a răsturnat ecosistemul infracțional cibernetic din Europa de Est, potrivit experților în securitate cibernetică de la Google, schimbând modul în care se desfășoară atacurile ransomware.
„Ransomware-ul continuă să fie profitabil, dar actorii amenințărilor motivați din punct de vedere financiar nu sunt imuni de evoluțiile geopolitice”, spune un nou raport, elaborat de Grupul de analiză a amenințărilor Google (TAG), Mandiant (firma de securitate cibernetică care face acum parte din Google Cloud) și Încredere și siguranță Google.
„Liniile se estompează între atacatorii motivați financiar și susținuți de guvern din Europa de Est”, se spune în raport, „actorii amenințărilor modificându-și țintirea pentru a se alinia cu interesele geopolitice regionale, iar atacatorii susținuți de guvern adoptând unele tactici și servicii asociate cu actori motivați financiar. .”
Pe măsură ce alianțele se schimbă, nu mai este tabu ca infractorii cibernetici să meargă după ținte rusești, notează raportul. Între timp, războiul a accelerat și o tendință de „specializare” în ecosistemul ransomware, spun experții Google, ceea ce face mai dificilă identificarea părților vinovate.
Pe lângă toate acestea, raportul notează că „războiul din Ucraina a fost definit și de ceea ce ne așteptam” – dar nu am văzut”. Mai exact, nu a existat o creștere a atacurilor împotriva infrastructurii critice, ceea ce este surprinzător, având în vedere comunitatea amenințărilor ransomware.
Războiul a divizat rețeaua de criminali cibernetici din Europa de Est, se arată în raportul Google. Unele grupuri și-au declarat loialitate politică, în timp ce altele au lucrat pe linii geopolitice, iar alte grupuri proeminente de ransomware s-au închis.
De exemplu, la începutul războiului, grupul de ransomware Conti și-a declarat sprijinul pentru Rusia și a amenințat că va lovi infrastructura critică a națiunilor care au luat măsuri împotriva Rusiei. Această poziție a dus la diviziuni în cadrul grupului, conform scurgerilor de comunicații interne și a codului sursă, spune Google. În loc să intensifice atacurile pe măsură ce amenința, grupul s-a închis.
În plus, programul malware de furt Raccoon și-a suspendat activitatea după ce dezvoltatoruș a fugit de invazia Ucrainei. El a fost arestat în Olanda și așteaptă să fie extrădat în SUA.
Războiul i-a încurajat și pe infractorii cibernetici să meargă după ținte rusești.
„Înainte de februarie 2022, creatorii de ransomware au folosit tehnici pentru a evita țintirea Comunității Statelor Independente, inclusiv codificarea puternică a numelor de țări și verificarea limbii sistemului”, se arată în raport. „După invazie, grupul hacktivist NB65 a folosit codul sursă Conti scurs pentru a viza organizațiile ruse. NB65 susține legături către colectivul de hacktiviști Anonymous, care a desfășurat o campanie „#OpRussia”, inclusiv mai multe operațiuni de hack-and-leak împotriva organizațiilor ruse, cum ar fi Banca Centrală Rusă.”
Între timp, așa-numita „Armata Ucraineană IT” a colaborat cu Ministerul Apărării al Ucrainei pentru a apăra Ucraina și pentru a viza infrastructura și site-urile web rusești.
Războiul a determinat, de asemenea, o schimbare a tacticilor în rândul grupurilor de ransomware. În primul rând, campaniile de ransomware asociate atacatorilor susținuți de guvern folosesc tactici asociate de obicei cu hackeri motivați financiar – și invers.
În plus, atacatorii ransomware se specializează din ce în ce mai mult într-o parte a „lanțului de atac”, se arată în raport, în timp ce lucrează cu alți „parteneri de afaceri”.
În timpul războiului, atacatorii au experimentat mai mult cu tehnici noi, cum ar fi noi canale de livrare și formate de fișiere neconvenționale. Atacatorii motivați financiar s-au grăbit, de asemenea, să împrumute tehnicile de succes ale altor infractori, ceea ce face mai dificilă determinarea cine se află în spatele atacurilor.
Raportul Google ia în considerare motivele pentru care nu a existat o creștere a atacurilor ransomware împotriva infrastructurii critice în timpul războiului, „cum ar fi fost de așteptat după declarațiile de la începutul conflictului și valul anterior de astfel de atacuri în 2021”.
O teorie pe care o propune Google este că răspunsul SUA la atacul din 2021 la Colonial Pipeline și arestarea ulterioară în Rusia a membrilor bandei de ransomware REvil ar fi putut descuraja bandele de ransomware motivate financiar.
Google postulează, de asemenea, că sancțiunile împotriva Rusiei ar fi putut afecta dorința organizațiilor occidentale de a plăti răscumpărări.
Alături de perturbarea ecosistemului criminal din Europa de Est, raportul analizează alte două aspecte ale frontului de război digital. În primul rând, observă că: „Atacatorii susținuți de guvernul rus s-au angajat într-un efort agresiv, pe mai multe direcții, pentru a obține un avantaj decisiv în timpul războiului în spațiul cibernetic, adesea cu rezultate mixte”.
În 2022, Rusia a crescut vizarea utilizatorilor din Ucraina cu 250% față de 2020, în timp ce vizarea utilizatorilor din țările NATO a crescut cu peste 300%.
Raportul analizează, de asemenea, utilizarea robustă de către Rusia a „operațiunilor informaționale”, care include totul, de la mass-media susținută de stat până la platforme și conturi ascunse, pentru a modela percepția publică asupra războiului.
În total, raportul conchide: „Este clar că cibernetica va juca acum un rol esențial în viitorul conflict armat, suplimentând formele tradiționale de război”.
Raportul, au spus autorii săi, își propune să servească „ca un apel la acțiune în timp ce ne pregătim pentru potențiale conflicte viitoare din întreaga lume”.
