Nejméně šest různých aktérů napojených na Rusko zahájilo od 23. února do 8. dubna nejméně 237 kybernetických útoků proti Ukrajině, včetně 38 diskrétních destruktivních útoků, které nenávratně zničily soubory ve stovkách systémů napříč desítkami organizací v zemi.
"Kybernetické a kinetické akce společně působí tak, že narušují nebo degradují ukrajinské vládní a vojenské funkce a podkopávají důvěru veřejnosti v tytéž instituce," uvedla ve zvláštní zprávě společnost Digital Security Unit (DSU).
Mezi hlavní rodiny malwaru, které byly využity k destruktivní činnosti v rámci neúnavných ruských digitálních útoků, patří: WhisperGate, HermeticWiper (FoxBlade aka KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), Caddy)BladeberZLa Desert) a Industroyer2.
WhisperGate, HermeticWiper, IssacWiper a CaddyWiper jsou všechny stěrače dat navržené k přepsání dat a zajištění toho, že stroje nelze spustit, zatímco DoubleZero je malware .NET schopný mazat data. DesertBlade, také stěrač dat, byl údajně spuštěn proti nejmenované vysílací společnosti na Ukrajině 1. března.
Na druhé straně SonicVote je šifrovač souborů detekovaný ve spojení s HermeticWiper, aby maskoval průniky jako ransomwarový útok, zatímco Industroyer2 je speciálně navržen tak, aby zasáhl operační technologické sítě a sabotoval kritické průmyslové výroby a procesy.
Microsoft připisoval HermeticWiper, CaddyWiper a Industroyer2 s mírnou důvěrou ruskému státem podporovanému herci jménem Sandworm (aka Iridium). Útoky WhisperGate byly spojeny s dříve neznámým clusterem nazvaným DEV-0586, o kterém se předpokládá, že je přidružen k ruské vojenské rozvědce GRU.
32 % z celkových 38 destruktivních útoků se odhaduje na ukrajinské vládní organizace na národní, regionální a městské úrovni, přičemž více než 40 % útoků je zaměřeno na organizace v sektorech kritické infrastruktury v zemích.
Microsoft navíc uvedl, že pozoroval Nobelium, aktéra hrozby, který je obviňován z útoku na dodavatelský řetězec SolarWinds v roce 2020, jak se pokouší narušit IT firmy obsluhující vládní zákazníky v členských státech NATO, využívající přístup k datům ze západních organizací zahraniční politiky.
Další škodlivé útoky zahrnují phishingové kampaně zaměřené na vojenské subjekty (Fancy Bear aka Strontium) a vládní úředníky (Primitive Bear aka Actinium) a také krádeže dat (Energetic Bear aka Bromine) a průzkum (Venomous Bear aka Krypton) operace.
„Zdá se, že ruské použití kybernetických útoků úzce souvisí a někdy přímo načasuje s jeho kinetickými vojenskými operacemi zaměřenými na služby a instituce klíčové pro civilisty,“ řekl Tom Burt, firemní viceprezident pro bezpečnost a důvěru zákazníků.
"Vzhledem k tomu, že ruští aktéři hrozeb odrážejí a rozšiřují vojenské akce, věříme, že kybernetické útoky budou i nadále eskalovat, jak zuří konflikt. Útoky, které jsme pozorovali, jsou pravděpodobně jen zlomkem aktivit zaměřených na Ukrajinu."
"Počet kybernetických útoků na Ukrajině během příštích šesti měsíců vzroste," uvedla minulý měsíc ruská kyberbezpečnostní společnost Kaspersky ve své vlastní analýze ofenzív na Ukrajině. „Zatímco většina současných útoků má nízkou složitost – jako je DDoS nebo útoky využívající komoditní a nekvalitní nástroje – existují také sofistikovanější útoky a očekává se, že přijdou další.“
Zaujal vás tento článek? Sledujte THN na Facebooku, Twitteru a LinkedIn a přečtěte si další exkluzivní obsah, který zveřejňujeme.
