ÚLTIMAS Análises de Novas Ameaças: Killnet Hack-for-Hire Group

A seguir, uma análise de ameaças, detalhando a pesquisa realizada pela Quadrant Security no grupo de hackers contratados Killnet.

Quem é Killnet?

Killnet é um grupo de hackers de aluguel com laços fortes, mas indiretos, com os objetivos estratégicos do governo russo, utilizando principalmente negação de serviço distribuído ( DDoS ) como um vetor de ataque preferencial. Embora o impacto do grupo tenha sido limitado até o momento, há fortes indicadores de que a Killnet continuará a desenvolver e aumentar seus ataques por meio de redes maliciosas.

Histórico de atividades Killnet

Várias fontes afirmam que a KillNet reivindicou a responsabilidade por violações de dados, desde uma “Fonte de assistência médica do governo” até a Lockheed Martin. Este NÃO é um resultado esperado de um ataque de negação de serviço por si só. No momento da redação deste artigo, não há evidências diretas que indiquem como Killnet foi capaz de obter essas informações, embora uma fonte afirme que foram observados ataques de dicionário de força bruta contra serviços públicos. Esta fonte, no entanto, não forneceu uma referência.

Outros analistas sugerem que o uso contínuo de DDoS pode ser para distrair e desviar medidas e equipes defensivas para permitir a ocorrência de ataques mais prejudiciais, como infecções por Ransomware / Wiper Malware.

Por causa de sua forte postura pró-russa, alguns acreditam que outros grupos pró-russos podem vir em seu auxílio e direcionar / ajudar no ataque aos alvos de Killnet. Um grupo específico listado é o grupo Conti Ransomware. Tanto Killnet quanto Conti anunciaram apoio à Rússia após a invasão da Ucrânia. Além disso, Killnet declarou publicamente o desejo de unir forças e reunir outros grupos de hackers pró-russos. Embora mantenham vários canais do Telegram, a Killnet também estabeleceu um fórum próprio para reunir os agentes de ameaças.

Fórum Mergulhando no Infinito

Uma análise mais detalhada do fórum mostra várias seções, desde arrecadação de fundos para Killnet / Infinity Forum até uma loja em funcionamento que oferece várias atividades nefastas, incluindo campanhas de phishing, informações de cartão de crédito roubadas, como usar os dados roubados e muito mais.

Outra parte alarmante do fórum funciona como uma seção de “procurados”. Uma postagem observada solicitava um desenvolvedor de Wiper Malware, afirmando que eles já comprometeram um hospital e aumentaram os privilégios. Embora o nome do hospital não tenha sido divulgado, capturas de tela indicam que o alvo comprometido é ucraniano. Outros comentários em tópicos semelhantes indicam um compromisso de um hospital de língua inglesa, afirmando que o VNC foi aproveitado para visualizar e editar exames de ressonância magnética.

As seções de notícias deste fórum estão repletas de propaganda pró-Rússia sobre o “SVO” (Spetsialnaya Voennaya Operatsiya == SMO (Eng.), Operação Militar Especial) na Ucrânia. Espera-se que fóruns como este sejam encontrados em conexões TOR e não na Internet “aberta”. Alguns dos fóruns indicam que uma mudança para o TOR pode ser esperada no final do mês.

Pesquisa em resumo

Embora a ameaça de DDoS seja preocupante, o potencial das parcerias criminosas da Killnet para “compartilhar alvos” é muito mais alarmante. Isso é agravado pelos tópicos ativos no Fórum Infinity, que indicam violações ativas recentes. Existem fortes indicadores de que a KillNet continuará a desenvolver e aumentar seus ataques por meio dessa rede maliciosa.

É nossa determinação que a maior preocupação do grupo KillNet ATP é a evolução implícita de TTP para malware baseado em criptografia (Ransomware/Wiper Malware) e o potencial para ataques de extorsão/extorsão dupla ou a perda completa de dados de um alvo como objetivo final .

Para visualizar/baixar os detalhes completos da análise de ameaças, incluindo recomendações de analistas, visite: https://quadrantsec.com/blog/threat-analysis-killnet