A guerra entre a Rússia e a Ucrânia mostrou ao mundo como os cibercriminosos agem em meio a um conflito no século XXI. Antes mesmo dos ataques russos começarem, grupos de hackers simpatizantes com a política de Vladimir Putin lançaram várias ofensivas DDoS (ataques de negação de serviço que tiram páginas do ar) contra órgãos e empresas ucranianas.
Entre os primeiros alvos, está o Serviço Civil Nacional Ucraniano e o site de notícias do governo, ambos no dia 14 de fevereiro, às 4h, segundo mapeamento do “Global Threat Hunting System”, da NSFOCUS.
Já no dia 16, por volta do mesmo horário, o monitoramento da empresa detectou um ataque com duração de 2h28min10 contra o PrivatBank, um dos maiores bancos do país. Também foram observados ataques do Lorec53, tipo de grupo APT (Ameaça Persistente Avançada), já identificado e nomeado anteriormente pelo NSFOCUS Security Labs. Neste tipo de investida, os invasores se estabelecem por um longo prazo em uma rede para extrair dados altamente confidenciais contra as principais infraestruturas de informação.
Além disso, foram observados ataques da botnet Mirai (rede de computadores infectados e controlados remotamente), uma das maiores que existe no mundo, contra uma rede backbone ucraniana (responsável por interligar servidores que estão distantes), a fim de inviabilizar o serviço de acesso à internet e tráfego geral.
Desdobramento e regiões atingidas
Os hackers seguiram os dias diversificando seus alvos de acordo com as regiões. Os ataques atingiram 31 regiões da Ucrânia, com destaque para a capital Kiev, com quase metade deles (47%). “Além disso, a distribuição geral das áreas afetadas é relativamente equilibrada, o que mostra um alto preparo e organização”, afirma Fernando Ticianeli, especialista em cibersegurança e arquitetura de projetos da NSFOCUS na América Latina.
Em circunstâncias normais, os ataques DDoS são geralmente direcionados a setores financeiro e/ou sociais essenciais para uma população. Para se ter uma ideia em números, até o dia 24 de fevereiro, houve aproximadamente 990 ocorrências deste tipo contra 239 companhias ucranianas. Apesar de 77% durarem menos de 5 minutos, em 90% dos casos, as ofensivas foram direcionadas aos provedores de internet e empresas de telecomunicações. Entre as operadoras, a Kyivstar, líder do setor no país, se manteve no topo entre os alvos, com 16,89%.
Já os ataques com maior duração, entre 1 e 3 horas, equivalentes a 6% dos casos, foram majoritariamente destinados a serviços financeiros e organizações governamentais, que também atraíram os episódios com períodos mais longos, entre 3 e 6 horas.
