Plusieurs hacktivistes anonymes et groupes de hackers ont annoncé collectivement cette semaine qu'ils lançaient une guerre des cyber-proxys et s'impliquaient dans le conflit entre la Russie et l'Ukraine.
Les experts sont préoccupés par le fait que des groupes de cybercriminels non gouvernementaux prennent parti alors que la Russie envahit l'Ukraine.
Jeudi, un membre d'Anonymous s'est rendu sur Twitter et a annoncé qu'ils lanceraient des attaques contre le gouvernement russe. Les pirates ont également dégradé des sites Web russes locaux, notamment RT, un média russe populaire.
Vendredi, le groupe a également affirmé qu'il divulguerait les identifiants de connexion du site Web du ministère russe de la Défense.
Ces actions sur le cyberespace sont intervenues quelques heures seulement après que Yegor Aouchev, PDG de la cybersécurité à Kiev, a déclaré à Reuters que des responsables du ministère ukrainien de la Défense lui avaient demandé de demander l'aide de la communauté des hackers et de demander l'aide d'acteurs menaçants offensifs et défensifs.
Après la demande, des demandes de volontaires ont commencé à apparaître sur divers forums de hackers, alors que la Russie bombardait Kiev. Les messages lisent:
« La cybercommunauté ukrainienne ! Il est temps de s'impliquer dans la cyberdéfense de notre pays."
Anonymous n'est pas le seul groupe à avoir confirmé son implication dans le conflit puisque vendredi, les groupes de rançongiciels Conti et ComingProject ont annoncé qu'ils soutiendraient le gouvernement russe.
Le groupe de rançongiciels Conti a officiellement annoncé qu'il se rangerait du côté du gouvernement russe. Le message officiel disait :
"Si un organisme décide d'organiser une cyberattaque ou des activités de guerre contre la Russie, nous allons utiliser toutes nos ressources possibles pour riposter aux infrastructures critiques d'un ennemi."
Peu de temps après avoir envoyé le message, Conti a révisé sa déclaration, baissant le ton en disant qu'il ferait «toute sa capacité à prendre des mesures de représailles au cas où les bellicistes occidentaux tenteraient de cibler des infrastructures critiques en Russie ou dans toute région russophone du monde».
Le message disait en outre qu'ils condamnent le conflit en cours et ne soutiennent aucun gouvernement. Cela dit, ils ont en outre expliqué que «l' Occident est connu pour mener ses guerres principalement en ciblant des civils, nous utiliserons nos ressources pour riposter si le bien-être et la sécurité de citoyens pacifiques sont en jeu en raison de la cyberagression américaine. "
L'annonce de la communauté des rançongiciels est intervenue alors que l'Ukraine était confrontée à des attaques DDoS, des logiciels malveillants d'effacement, des attaques de phishing, etc. La connectivité Internet reste également intermittente dans le pays, comme l' a rapporté Netblocks.
Les experts sont extrêmement méfiants à l'égard des groupes de hackers prenant parti dans le conflit russo-ukrainien en lançant des attaques. Cela a encore plus effrayé les experts puisque le secrétaire général de l'OTAN, Jens Stoltenberg , a déclaré que «ces cyberattaques peuvent déclencher l'article 5 de la charte de l'OTAN. «L'article 5 concerne la défense collective qui oblige chaque membre à protéger l'autre.
Des chercheurs de Sophos, une entreprise de cybersécurité, ont déclaré que des groupes de rançongiciels comme Anonymous et Conti prenant parti dans ce conflit "augmenteront le risque pour tout le monde, qu'il soit impliqué dans ce conflit ou non".
"Les attaques de justiciers dans les deux sens augmentent le brouillard de la guerre et génèrent de la confusion et de l'incertitude pour tout le monde", a déclaré Sophos.
Brett Callow, analyste des menaces chez Emisoft, a déclaré que la situation était très volatile compte tenu de la déclaration de Conti. "Ce n'est probablement que de la fanfaronnade aussi [mais] ce serait une erreur de supposer que la menace est vide. Si votre entreprise n'est pas déjà passée à Shields Up, c'est le moment », a déclaré Callow.
Casey Ellis, Bugcrowd CTO, a déclaré que l'une de ses préoccupations est que les récents développements avec des groupes de hacktivistes prenant parti pourraient conduire à des actions avec des cyberattaques intentionnelles «sous faux drapeau» qui pourraient aggraver le conflit à l'échelle internationale.
Un groupe anonyme a tweeté une vidéo affirmant que "si les tensions continuent de s'aggraver en Ukraine, alors nous pouvons prendre en otage les systèmes de contrôle industriel".
#Anonyme – Message à la Russie et aux alliés occidentaux concernant l'Ukraine
"Si les tensions continuent de s'aggraver en #Ukraine, alors nous pouvons prendre en otage… les systèmes de contrôle industriel." Attendez-nous.
Оopération #Russie Engagée. #OpRussia et #ОpKremlin #OTAN #USA #UkraineCrisis pic.twitter.com/5UecX6UZAK– Anonyme?? ☕? (@YourAnonRiots) 25 février 2022
La déclaration de Conti concernant leur position dans le conflit actuel montre que le groupe opère peut-être sous le Kremlin ou opère indépendamment. Chris Morgan de Digital Shadows a noté que selon leurs données, Conti était le deuxième groupe de ransomwares le plus actif en 2021 avec des cibles et des victimes de premier plan, notamment des établissements de santé aux États-Unis, en Nouvelle-Zélande et en Irlande.
Morgan dit que le groupe devrait être considéré comme un adversaire puissant compte tenu de ses ressources et des attaques précédentes.
"Les activités de Conti ont également été récemment renforcées par l'embauche des développeurs du tristement célèbre cheval de Troie Trickbot, qui leur a également permis de contrôler le développement d'un autre malware, le BazarBackdoor, que le groupe utilise désormais comme principal outil d'accès initial", explique Morgan.
Allen Liska, expert de Recorded Future, a déclaré à ZDNet que les menaces de ces groupes de rançongiciels prenant parti dans le conflit devraient être prises au sérieux car cela pose une réelle préoccupation. Liska a déclaré que Conti est parfaitement capable d'organiser une riposte ciblée. "Nous savons que lorsque Ryuk a décidé de riposter contre les États-Unis en 2020, ils ont facilement pu le faire", a déclaré Liska.
"Plus généralement, qu'il s'agisse de groupes de rançongiciels, d'anonymes ou de l'Ukraine appelant les" cyber-patriotes "pour aider la cyberactivité indépendante, cela fera partie de toute action militaire à l'avenir. Je ne dis pas que c'est une bonne idée, c'est juste la réalité.» – Liska
De même, Andras Toth-Czifra, analyste principal chez Flashpoint, a déclaré que l'implication de groupes de rançongiciels et de hacktivistes dans un conflit armé est une mauvaise évolution, car Anonymous a ciblé des gouvernements dans le passé.
Liska et Toth-Czifra sont d'avis que les hacktivistes qui prennent ouvertement parti pour la Russie sont très préoccupants.
Toth-Czifra a en outre expliqué que Flashpoint n'a observé aucune remarque patriotique sur les communautés du dark web à propos de l'attaque russe contre l'Ukraine. C'est très différent de l'émergence des «hackers patriotiques» en 2008 lors de l'attaque russe contre la Géorgie.
«Mais alors que le cyberunderground est resté largement neutre jusqu'à présent, il ne faut pas oublier que l'Ukraine a coopéré avec les forces de l'ordre occidentales contre les gangs de ransomwares ces dernières années, ce qui peut influencer les calculs des collectifs de ransomwares. Jusqu'à présent, Flashpoint a vu un autre gang prolifique de rançongiciels (LockBit) suggérant qu'ils resteraient neutres.
Autres groupes
Vendredi, la BBC a rapporté qu'un groupe de pirates informatiques russes avait attaqué des serveurs ukrainiens avec des attaques DDoS et avait envoyé par e-mail la menace d'attentats à la bombe aux écoles. Le groupe de hackers se vante ouvertement de son travail et prétend prendre de tels projets à l'avenir, y compris l'utilisation de ransomwares.
« Ce n'est que le début… Vous devez comprendre que nous sommes prudents et que nous surveillons ce que nous faisons en ce moment. Nous pourrions lancer un rançongiciel, mais nous ne l'avons pas encore fait », déclare le groupe de hackers russe.
Karen Walsh, PDG d'Allegro Solutions, a déclaré que la déclaration de Conti confondrait les entreprises américaines avec les plans de cyberassurance.
« Notamment, ces changements mentionnaient les cyberopérations menées au cours de la guerre. Dans le cadre de l'atténuation des risques, les entreprises devraient commencer à revoir leurs exclusions d'assurance cyber-responsabilité et s'assurer qu'elles interrogent leurs transporteurs sur leur position sur cette question », a déclaré Walsh.
Les entreprises sont déjà averties de renforcer leur cybersécurité alors que de nouvelles restrictions sont imposées à la Russie. Le Royaume-Uni a averti les entreprises de se préparer à d'éventuelles cyberattaques.
Une cyberguerre intense et généralisée se profile alors que la Russie envahit l'Ukraine. La situation s'est aggravée lorsque des groupes de rançongiciels ont pris parti dans la guerre.