O estudo, intitulado “Cisco Talos 2022 Year in Review” trouxe um conjunto de análises detalhadas a respeito da atuação de agentes hostis nos meios digitais, além de listar as tendências de risco para o mundo cibernético no último ano, podendo influenciar na tomada de decisão das empresas no futuro.
Entre os temas abordados, o que ganhou destaque na apresentação do documento envolveu a guerra da Ucrânia e os personagens mais ativos dentro desse cenário de crise. Nesse assunto, os pesquisadores observaram um número inédito de adversários aglutinados num mesmo cenário de conflito, respondendo as mais variadas motivações e orientações político-ideológicas.
A pesquisa informou que, dado o desenrolar do conflito, mesmo em um improvável cessar-fogo, o potencial de ameaça cibernética deve continuar durante algum tempo. Ainda que possa ocorrer algum impacto no volume de ataques, é certo que o apaziguamento da guerra não gerará uma redução drástica. Isso se baseia em conhecimento pregresso de que atividades hacktivistas com patrocínio do Estado russo prosseguiu mesmo após a anexação da Crimeia, em 2014.
“Avaliamos que a ameaça para o governo ucraniano e entidades aliadas do governo e do setor privado permanecerá elevada durante toda a duração da guerra. Embora a variedade de ameaças enfrentadas por essas entidades provavelmente continue, avaliamos que ataques mais destrutivos são particularmente mais prováveis de ocorrer, dada a preferência dos adversários russos por isso, e o sucesso no combate ao wiper malware contra entidades ucranianas desde 2014”, afirmou o Security Research Leader da Cisco Talos, David Liebenberg, à Security Report.
Como a Rússia dobra seus objetivos de ocupar e anexar partes da Ucrânia e como Moscou mostra uma vontade consistente de realizar ataques grandiosos e de alto impacto contra entidades civis e de infraestrutura crítica, a Cisco julga que os atores russos da ameaça cibernética conduzirão de forma semelhante ataques agressivos e descarados, conforme necessário, para afetar o resultado da guerra. Isso incluiu ataques sofisticados e destrutivos em larga escala, como o NotPetya.
O grupo de inteligência da Cisco Talos expandiu a cobertura de vigilância sobre o território ucraniano, aproveitando a parceria com entes de cibersegurança crítica no país existentes desde antes da crise. Através disso, a organização promoveu a implantação de produtos de defesa cibernética da Cisco em endpoints críticos da Ucrânia, para preservar um monitoramento adequado dessas redes vitais. Isso responde a um esforço de preservar a resiliência à incidentes das instituições e organismos nacionais.
Através desses trabalhos, foi possível identificar uma gama complexa de ameaças aos ambientes digitais do invadido, muitas delas envolvendo ataques por DDoS ou aplicação de phishing buscando inserir info-stealers ou wipers, e mirando cadeias de suprimentos e setores críticos da máquina pública ucraniana. Ainda se detectou um grande uso de elementos como PowerShell e ferramentas de persistência dos incidentes, ou mesmo de criptominers ilícitos.
“O grupo hacktivista mais proeminente que estamos rastreando é o Killnet, que realiza ataques DDoS em apoio aos interesses russos. O grupo lançou seus primeiros ataques contra dezenas de websites do governo ucraniano em resposta ao grupo hacktivista Anonymous, que tem como alvo entidades russas. Nos meses seguintes, o Killnet rapidamente começou a atacar sites de países pró-Ucrânia. No caso da Lituânia, por exemplo, foi em resposta ao bloqueio do trânsito de mercadorias para a Rússia. Os ataques DDoS foram direcionados a vários sites do governo que tipicamente afetam múltiplos serviços e operações, tais como Ministérios da Defesa, transportes, bancos e polícia”, explicou Liebenberg.
Felizmente, até agora, os ataques do Killnet têm sido de pouca sofisticação, permitindo a rápida recuperação das vítimas. Isso sugere, segundo o Líder de pesquisa em segurança, que a intenção atual do grupo é atrair atenção midiática sobre ataques de grandes proporções contra nações pró-Ucrânia e anti-Rússia.
Entretanto, o maior medo atualmente é que esses grupos de hacktivismo passem a aplicar ataques mais sérios, com consequências mais destrutivas. Esse risco, evidentemente, contribui para a manutenção do nível de risco ao qual as infraestruturas públicas e vitais da Ucrânia estão expostas, ainda que se celebre um acordo de cessar-fogo.
“No início deste ano, a Killnet teria recrutado gangues de ransomware para atacar entidades em seu nome, sugerindo que eles poderiam desenvolver sua própria variante ou comprar uma de um mercado underground para conduzir ataques mais destrutivos. Além disso, a Killnet supostamente alavancou a botnet Mirai para ampliar suas capacidades de ataque no início deste ano, destacando ainda mais o interesse do grupo em expandir seu arsenal de malware”, alertou David Liebenberg.
