BREAKING Nouvelle analyse des menaces : Killnet Hack-for-Hire Group

Ce qui suit est une analyse des menaces, détaillant les recherches effectuées par Quadrant Security sur le groupe de hack-for-hire Killnet.

Qui est Killnet ?

Killnet est un groupe de piratage pour compte d'autrui ayant des liens étroits mais indirects avec les objectifs stratégiques du gouvernement russe, utilisant principalement le déni de service distribué ( DDoS ) comme vecteur d'attaque préféré. Bien que le groupe ait eu un impact limité à ce jour, il existe de forts indicateurs que Killnet continuera à développer et à intensifier ses attaques via des réseaux malveillants.

Contexte de l'activité Killnet

Plusieurs sources affirment que KillNet a revendiqué la responsabilité de violations de données allant d'une "source gouvernementale de soins de santé" à Lockheed Martin. Ce n'est PAS un résultat attendu d'une attaque par déni de service en soi. Au moment de la rédaction de cet article, il n'existe aucune preuve directe indiquant comment Killnet a pu obtenir ces informations, bien qu'une source indique que des attaques par dictionnaire de force brute contre des services publics ont été observées. Cette source, cependant, n'a pas fourni de référence.

D'autres analystes suggèrent que l'utilisation continue de DDoS peut être de distraire et de détourner les mesures défensives et les équipes pour permettre à des attaques plus préjudiciables de se produire telles que les infections Ransomware / Wiper Malware.

En raison de leur forte position pro-russe, certains pensent que d'autres groupes pro-russes pourraient leur venir en aide et cibler/aider à attaquer les cibles de Killnet. Un groupe spécifique répertorié est le groupe Conti Ransomware. Killnet et Conti ont annoncé leur soutien à la Russie après l'invasion de l'Ukraine. De plus, Killnet a déclaré publiquement son désir d'unir ses forces et de rassembler d'autres groupes de piratage pro-russes. Bien qu'ils maintiennent plusieurs canaux Telegram, Killnet a également créé son propre forum pour rassembler les acteurs de la menace.

Forum Plonger dans l'infini

Un examen plus approfondi du forum montre plusieurs sections allant de la collecte de fonds pour Killnet / Infinity Forum à un magasin fonctionnel qui propose diverses activités néfastes, notamment des campagnes de phishing, des informations de carte de crédit volées, comment utiliser les données volées, et bien plus encore.

Une autre partie alarmante du forum agit comme une section "recherchée". Un message observé sollicitait un développeur de Wiper Malware, déclarant qu'il avait déjà compromis un hôpital et avait augmenté ses privilèges. Bien que le nom de l'hôpital n'ait pas été divulgué, des captures d'écran indiquent que la cible compromise est ukrainienne. D'autres commentaires sur des fils de discussion similaires indiquent un compromis d'un hôpital anglophone, indiquant que VNC a été utilisé pour afficher et modifier les examens IRM.

Les sections d'actualités de ce forum sont remplies de propagande pro-russe concernant le "SVO" (Spetsialnaya Voennaya Operatsiya == SMO (Eng), Special Military Operation) en Ukraine. On s'attendrait à ce que des forums comme celui-ci soient trouvés sur les connexions TOR et non sur l'Internet "ouvert". Certains forums indiquent qu'un passage à TOR peut être attendu à la fin du mois.

Recherche en résumé

Bien que la menace de DDoS soit quelque peu préoccupante, le potentiel des partenariats criminels de Killnet à « partager des cibles » est beaucoup plus alarmant. Ceci est aggravé par les discussions actives sur le forum Infinity qui indiquent des violations actives récentes. Il existe de forts indicateurs que KillNet continuera à développer et à intensifier ses attaques via ce réseau malveillant.

Nous sommes convaincus que la plus grande préoccupation du groupe KillNet ATP est l'évolution implicite des TTP vers des logiciels malveillants basés sur le cryptage (Ransomware/Wiper Malware) et le potentiel d'attaques d'extorsion/double extorsion ou la perte complète de données d'une cible comme objectif final. .

Pour afficher/télécharger les détails complets de l'analyse des menaces, y compris les recommandations des analystes, visitez : https://quadrantsec.com/blog/threat-analysis-killnet