Pelo menos seis atores alinhados com a Rússia lançaram nada menos que 237 ataques cibernéticos contra a Ucrânia de 23 de fevereiro a 8 de abril, incluindo 38 ataques destrutivos discretos que destruíram irrevogavelmente arquivos em centenas de sistemas em dezenas de organizações no país.
"Coletivamente, as ações cibernéticas e cinéticas funcionam para interromper ou degradar o governo ucraniano e as funções militares e minar a confiança do público nessas mesmas instituições", disse a Unidade de Segurança Digital (DSU) da empresa em um relatório especial.
As principais famílias de malware que foram aproveitadas para atividades destrutivas como parte dos ataques digitais implacáveis da Rússia incluem: WhisperGate, HermeticWiper (FoxBlade, também conhecido como KillDisk), HermeticRansom (SonicVote), IssacWiper (Lasainraw), CaddyWiper, DesertBlade, DoubleZero (FiberLake) , e Indústria2.
WhisperGate, HermeticWiper, IssacWiper e CaddyWiper são todos limpadores de dados projetados para sobrescrever dados e tornar as máquinas não inicializáveis, enquanto DoubleZero é um malware .NET capaz de excluir dados. Diz-se que o DesertBlade, também um limpador de dados, foi lançado contra uma empresa de radiodifusão não identificada na Ucrânia em 1º de março.
O SonicVote, por outro lado, é um criptografador de arquivos detectado em conjunto com o HermeticWiper para disfarçar as invasões como um ataque de ransomware, enquanto o Industroyer2 foi projetado especificamente para atacar redes de tecnologia operacional para sabotar a produção e os processos industriais críticos.
A Microsoft atribuiu HermeticWiper, CaddyWiper e Industroyer2 com confiança moderada a um ator patrocinado pelo estado russo chamado Sandworm (também conhecido como Iridium). Os ataques do WhisperGate foram vinculados a um cluster anteriormente desconhecido chamado DEV-0586, que se acredita ser afiliado à inteligência militar GRU da Rússia.
Estima-se que 32% do total de 38 ataques destrutivos atingiram organizações do governo ucraniano nos níveis nacional, regional e municipal, com mais de 40% dos ataques direcionados a organizações em setores críticos de infraestrutura nas nações.
Além disso, a Microsoft disse que observou Nobelium, o agente da ameaça culpado pelo ataque à cadeia de suprimentos da SolarWinds em 2020, tentando invadir empresas de TI que atendem a clientes governamentais em estados membros da OTAN, usando o acesso a dados de sifão de organizações ocidentais de política externa.
Outros ataques maliciosos envolvem campanhas de phishing visando entidades militares (Fancy Bear, também conhecido como Strontium) e funcionários do governo (Primitive Bear, também conhecido como Actinium), bem como roubo de dados (Energetic Bear, também conhecido como Bromine) e reconhecimento (Venomous Bear também conhecido como Krypton).
"O uso de ataques cibernéticos pela Rússia parece estar fortemente correlacionado e às vezes diretamente sincronizado com suas operações militares cinéticas visando serviços e instituições cruciais para civis", disse Tom Burt, vice-presidente corporativo de segurança e confiança do cliente.
"Dado que os agentes de ameaças russos têm espelhado e aumentado as ações militares, acreditamos que os ataques cibernéticos continuarão a aumentar à medida que o conflito se intensifica. É provável que os ataques que observamos sejam apenas uma fração da atividade direcionada à Ucrânia."
"O número de ataques cibernéticos na Ucrânia aumentará durante os próximos seis meses", disse a empresa russa de segurança cibernética Kaspersky em sua própria análise das ofensivas na Ucrânia no mês passado. “Embora a maioria dos ataques atuais seja de baixa complexidade – como DDoS ou ataques usando ferramentas comuns e de baixa qualidade – também existem ataques mais sofisticados e espera-se que outros venham”.
Achei este artigo interessante? Siga THN no Facebook, Twitter e LinkedIn para ler mais conteúdo exclusivo que publicamos.
