Los actores de amenazas leales al Kremlin han intensific ado los ataques en apoyo de su invasión de Ucrania, con ataques de denegación de servicio que afectan a bancos alemanes y otras organizaciones y el desencadenamiento de un nuevo borrador de datos destructivo en Ucrania.
La agencia BSI de Alemania, que monitorea la seguridad cibernética en ese país, dijo que los ataques causaron pequeñas interrupciones, pero al final causaron pocos daños.
“Actualmente, algunos sitios web no son accesibles”, dijo BSI en un comunicado a las agencias de noticias. “Actualmente no hay indicios de efectos directos en el servicio respectivo y, según la evaluación de BSI, estos no son de esperar si se toman las medidas de protección habituales”.
Los ataques distribuidos de denegación de servicio, típicamente llamados DDoSes, parecían ser una represalia por la decisión del gobierno alemán de permitir que sus avanzados tan ques Leopard 2 fueran suministrados a Ucrania. Investigadores de la firma de seguridad Cado Labs dijo el miércoles
Pronto siguieron mensajes de otros grupos de habla rusa que denunciaban ataques contra los sitios web de los principales aeropuertos alemanes, incluidos Hamburgo, Dortmund, Dresde y Dusseldorf; agencia de desarrollo alemana GIZ; sitio de la policía nacional de Alemania; Banco alemán; y sistema de pago en línea Giropay. No estaba claro si alguno de los ataques cerró con éxito los sitios.
Mientras tanto, otro grupo que se hace llamar “Sudán anónimo” también se atribuyó la responsabilidad de los ataques DDoS contra los sitios web del servicio de inteligencia exterior alemán y el Gabinete de Alemania, en apoyo de Killnet.
“Como hemos visto a lo largo de la guerra entre Rusia y Ucrania, los actores de amenazas cibernéticas responden rápidamente a los eventos geopolíticos y logran unir y movilizar grupos con motivos similares”, escribieron los investigadores de Cado Labs. “Es interesante notar la participación de un grupo que pretende ser la versión sudanesa de Anonymous, ya que demuestra la capacidad de los grupos hacktivistas de habla rusa para llevar a cabo esta movilización y colaboración a nivel internacional”.
Killnet surgió poco después de la invasión rusa de Ucrania. En junio pasado, se atribuyó lo que el gobierno lituano denominó DDoS “intensos” en la infraestructura crítica del país, incluidas partes de la Red Nacional Segura de Transferencia de Datos, que ayuda a ejecutar la estrategia de Lituania para garantizar la seguridad nacional en el ciberespacio. Las discusiones en un canal Killnet Telegram en ese momento indicaron que los ataques fueron en represalia porque el gobierno báltico cerró las rutas de tránsito a Rusia a principios de ese mes.
En septiembre, la firma de seguridad Mandiant dicho descubrió evidencia de que Killnet tenía vínculos indirectos con el Kremlin. Específicamente, los investigadores de Mandiant dijeron que Killnet coordinó algunas de sus actividades con un grupo llamado Xaknet y que Xaknet, a su vez, había coordinado algunas actividades con actores de amenazas de la Dirección Principal de Inteligencia de Rusia, o GRU.
En noticias relacionadas, el viernes, investigadores de la firma de seguridad Eset reportado que otro actor de amenazas respaldado por el Kremlin, conocido como Sandworm, desató un borrador de datos nunca antes visto en objetivos ucranianos. El malware destructivo, denominado SwiftSlicer, está escrito en el lenguaje de programación Go y utiliza bloques de 4096 bytes generados aleatoriamente para sobrescribir datos.