Múltiples hacktivistas anónimos y grupos de piratas informáticos han anunciado colectivamente esta semana que están lanzando una guerra de proxy cibernético y se están involucrando en el conflicto entre Rusia y Ucrania.
Los expertos están preocupados porque los grupos de ciberdelincuentes no gubernamentales están tomando partido cuando Rusia invade Ucrania.
El jueves, un miembro de Anonymous acudió a Twitter y anunció que lanzaría ataques contra el gobierno ruso. Los piratas informáticos también han desfigurado sitios web rusos locales, incluido RT, un popular medio de comunicación ruso.
El viernes, el grupo también afirmó que filtrarían las credenciales de inicio de sesión del sitio web del Ministerio de Defensa de Rusia.
Estas acciones en el ciberespacio se produjeron solo unas horas después de que Yegor Aushev, director ejecutivo de ciberseguridad en Kiev, dijera a Reuters que los funcionarios del Ministerio de Defensa de Ucrania le pidieron que buscara ayuda de la comunidad de piratas informáticos y buscara ayuda de los actores de amenazas tanto ofensivos como defensivos.
Después de la solicitud, comenzaron a aparecer solicitudes de voluntarios en varios foros de piratas informáticos, mientras Rusia bombardeaba Kiev. Las publicaciones dicen:
“¡Cibercomunidad ucraniana! Es hora de involucrarse en la ciberdefensa de nuestro país".
Anonymous no es el único grupo que ha confirmado su participación en el conflicto, ya que el viernes, los grupos de ransomware Conti y ComingProject anunciaron que apoyarán al gobierno ruso.
El grupo de ransomware Conti anunció oficialmente que se pondrá del lado del gobierno ruso. El mensaje oficial decía:
“Si algún organismo decide organizar un ataque cibernético o cualquier actividad de guerra contra Rusia, utilizaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas de un enemigo”.
Poco después de enviar el mensaje, Conti revisó su declaración, disminuyendo su tono diciendo que tendrían “toda su capacidad para aplicar medidas de represalia en caso de que los belicistas occidentales intenten atacar infraestructura crítica en Rusia o cualquier región del mundo de habla rusa”.
El mensaje decía además que condenan el conflicto en curso y no apoyan a ningún gobierno. Dicho esto, explicaron además que ” Occidente es conocido por librar sus guerras principalmente atacando a civiles, utilizaremos nuestros recursos para contraatacar si el bienestar y la seguridad de los ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense. “
El anuncio de la comunidad de ransomware se produjo cuando Ucrania se enfrentaba a DDoS, malware de limpieza, ataques de phishing y más. La conectividad a Internet también sigue siendo intermitente en el país, según informa Netblocks.
Los expertos son extremadamente cautelosos con los grupos de piratas informáticos que toman partido en el conflicto entre Rusia y Ucrania y lanzan ataques. Asustó aún más a los expertos, ya que el secretario general de la OTAN, Jens Stoltenberg , dijo que ” estos ciberataques pueden desencadenar el artículo 5 de la carta de la OTAN. El artículo 5 trata sobre la defensa colectiva que obliga a cada miembro a proteger al otro.
Los investigadores de Sophos, una empresa de ciberseguridad, dijeron que los grupos de ransomware como Anonymous y Conti que toman partido en este conflicto “aumentarán el riesgo para todos, estén o no involucrados en este conflicto”.
“Los ataques de vigilantes en cualquier dirección aumentan la niebla de la guerra y generan confusión e incertidumbre para todos”, dijo Sophos.
Brett Callow, analista de amenazas de Emisoft, dijo que la situación es muy volátil considerando la declaración de Conti. “Probablemente esto también sea solo una fanfarronada [pero] sería un error asumir que la amenaza está vacía. Si su empresa aún no ha adoptado Shields Up, ahora es el momento”, dijo Callow.
Casey Ellis, CTO de Bugcrowd, dijo que una de sus preocupaciones es que los desarrollos recientes con grupos de hacktivistas que toman partido podrían conducir a acciones con ciberataques intencionales de "bandera falsa" que podrían escalar el conflicto a nivel internacional.
Un grupo anónimo tuiteó un video que afirma que “si las tensiones continúan empeorando en Ucrania, entonces podemos tomar como rehenes los sistemas de control industrial”.
#Anónimo – Mensaje a Rusia y aliados occidentales sobre Ucrania
"Si las tensiones continúan empeorando en #Ucrania, entonces podemos tomar como rehenes… los sistemas de control industrial". Esperanos. Operación #Rusia
Comprometida. #OpRussia y #ОpKremlin #NATO #USA #UkraineCrisis pic.twitter.com/5UecX6UZAK— Anónimo?? ☕? (@YourAnonRiots) 25 de febrero de 2022
La declaración de Conti con respecto a su postura en el conflicto actual muestra que el grupo posiblemente esté operando bajo el Kremlin o que esté operando de forma independiente. Chris Morgan de Digital Shadows' señaló que, según sus datos, Conti fue el segundo grupo de ransomware más activo en 2021 con objetivos y víctimas de alto perfil, incluidas instituciones de atención médica en los EE. UU., Nueva Zelanda e Irlanda.
Morgan dice que el grupo debe considerarse un adversario fuerte teniendo en cuenta sus recursos y ataques anteriores.
“Las actividades de Conti también se han visto reforzadas recientemente con la contratación de los desarrolladores del infame troyano Trickbot, que también les ha permitido controlar el desarrollo de otro malware, BazarBackdoor, que el grupo utiliza ahora como su principal herramienta de acceso inicial”, dice Morgan.
Allen Liska, experto en Recorded Future, le dijo a ZDNet que las amenazas de estos grupos de ransomware que toman partido en el conflicto deben tomarse en serio, ya que representan una preocupación real. Liska dijo que Conti es perfectamente capaz de organizar una represalia enfocada. “Sabemos que cuando Ryuk decidió tomar represalias contra los EE. UU. en 2020, pudieron hacerlo fácilmente”, dijo Liska.
“Hablando en términos más generales, ya sea que se trate de grupos de ransomware, anónimos o Ucrania que llame a los ‘Cyber Patriots' para ayudar, la actividad cibernética independiente será parte de cualquier acción militar en el futuro. No digo que sea una buena idea, es solo la realidad”. – Liska
Del mismo modo, el analista principal de Flashpoint, Andras Toth-Czifra, dijo que los grupos de ransomware y hacktivistas que se involucran en un conflicto armado son un mal desarrollo, ya que Anonymous se ha dirigido a los gobiernos en el pasado.
Tanto Liska como Toth-Czifra opinan que es muy preocupante que los hacktivistas se pongan abiertamente del lado de Rusia.
Toth-Czifra explicó además que Flashpoint no ha observado ningún comentario patriótico en las comunidades de la web oscura sobre el ataque ruso a Ucrania. Esto es muy diferente al surgimiento de “hackers patrióticos” en 2008 durante el ataque de Rusia a Georgia.
“Pero mientras que la clandestinidad cibernética se ha mantenido en gran medida neutral hasta ahora, no se debe olvidar que Ucrania ha cooperado con las fuerzas del orden occidentales contra las pandillas de ransomware en los últimos años, lo que puede influir en los cálculos de los colectivos de ransomware. Hasta ahora, Flashpoint ha visto a otra banda prolífica de ransomware (LockBit) que sugiere que se mantendrían neutrales”.
Otros grupos
El viernes, la BBC informó que un grupo de piratas informáticos rusos había atacado servidores ucranianos con ataques DDoS y había enviado correos electrónicos con la amenaza de ataques con bombas a las escuelas. El grupo de hackers se jacta abiertamente de su trabajo y afirma tomar tales planes en el futuro, incluido el uso de ransomware.
“Esto es solo el comienzo… Tienes que entender que estamos siendo cuidadosos y observando lo que hacemos en este momento. Podríamos lanzar ransomware pero aún no lo hemos hecho”, dice el grupo de hackers rusos.
Karen Walsh, directora ejecutiva de Allegro Solutions, dijo que la declaración de Conti confundiría a las empresas estadounidenses con los planes de seguros cibernéticos.
“En particular, estos cambios mencionaron las operaciones cibernéticas realizadas en el curso de la guerra. Como parte de la mitigación de riesgos, las empresas deben comenzar a revisar sus exclusiones de seguro de responsabilidad cibernética y asegurarse de cuestionar a sus operadores sobre su posición sobre este tema”, dijo Walsh.
Ya se advierte a las empresas que refuercen su ciberseguridad a medida que se imponen nuevas restricciones a Rusia. El Reino Unido ha advertido a las empresas que se preparen para posibles ciberataques.
Una guerra cibernética intensa y generalizada se avecina cuando Rusia invade Ucrania. La situación empeoró con los grupos de ransomware tomando partido en la guerra.