.
Um ano depois que a Rússia invadiu a Ucrânia, a guerra continua – incluindo um componente digital em constante evolução que tem implicações para o futuro da segurança cibernética em todo o mundo. Entre outras coisas, a guerra na Ucrânia abalou o ecossistema cibercriminoso do Leste Europeu, de acordo com especialistas em segurança cibernética do Google, abalando a maneira como os ataques de ransomware estão ocorrendo.
“O ransomware continua a ser lucrativo, mas os agentes de ameaças motivados financeiramente não estão imunes aos desenvolvimentos geopolíticos”, diz um novo relatório, compilado pelo Threat Analysis Group (TAG) do Google, Mandiant (a empresa de segurança cibernética que agora faz parte do Google Cloud) e Confiança e segurança do Google.
TAMBÉM: A falta de sucesso dos hackers russos contra a Ucrânia mostra que fortes defesas cibernéticas funcionam
“As linhas estão se confundindo entre invasores motivados financeiramente e apoiados pelo governo na Europa Oriental”, diz o relatório, “com os atores de ameaças mudando seu alvo para se alinhar com os interesses geopolíticos regionais e os invasores apoiados pelo governo adotando algumas táticas e serviços associados a atores motivados financeiramente. .”
À medida que as alianças mudam, não é mais um tabu para os cibercriminosos irem atrás de alvos russos, observa o relatório. Enquanto isso, a guerra também acelerou uma tendência de “especialização” no ecossistema de ransomware, dizem os especialistas do Google, tornando mais difícil identificar os culpados.
Além de tudo isso, o relatório observa que “a guerra na Ucrânia também foi definida pelo que esperávamos – mas não vimos”. Especificamente, não houve aumento nos ataques contra a infraestrutura crítica, o que é surpreendente, dada a semelhança das ameaças de ransomware.
Cisões políticas
A guerra fragmentou a rede cibercriminosa do Leste Europeu, diz o relatório do Google. Alguns grupos declararam lealdades políticas, enquanto outros seguiram linhas geopolíticas e outros grupos proeminentes de ransomware foram fechados.
Por exemplo, no início da guerra, o grupo de ransomware Conti declarou seu apoio à Rússia e ameaçou atacar a infraestrutura crítica das nações que agiram contra a Rússia. Isso levou a divisões dentro do grupo, de acordo com vazamentos de suas comunicações internas e código-fonte, diz o Google. Em vez de aumentar os ataques conforme ameaçava, o grupo fechou.
Além disso, o malware ladrão Raccoon suspendeu a atividade depois que seu suposto desenvolvedor fugiu da invasão da Ucrânia. Ele foi preso na Holanda e aguarda extradição para os Estados Unidos.
A guerra também encorajou os cibercriminosos a irem atrás de alvos russos.
“Antes de fevereiro de 2022, os criadores de ransomware usavam técnicas para evitar atingir a Comunidade de Estados Independentes, incluindo codificar nomes de países e verificar o idioma do sistema”, diz o relatório. “Após a invasão, o grupo hacktivista NB65 usou o código-fonte vazado do Conti para atingir organizações russas. O NB65 reivindica links para o coletivo hacktivista Anonymous, que conduziu uma campanha ‘#OpRussia’, incluindo várias operações de hack-and-leak contra organizações russas, como o Banco Central da Rússia.”
Enquanto isso, o chamado “Exército de TI da Ucrânia” colaborou com o Ministério da Defesa da Ucrânia para defender a Ucrânia e atacar a infraestrutura e os sites russos.
Mudança de tática
A guerra também provocou uma mudança de tática entre os grupos de ransomware. Primeiro, as campanhas de ransomware associadas a invasores apoiados pelo governo estão usando táticas normalmente associadas a hackers com motivação financeira – e vice-versa.
Além disso, os invasores de ransomware estão se especializando cada vez mais em uma parte da “cadeia de ataque”, diz o relatório, enquanto trabalham com outros “parceiros de negócios”.
Durante a guerra, os invasores também experimentaram mais novas técnicas, como novos canais de entrega e formatos de arquivo não convencionais. Os invasores motivados financeiramente também foram rápidos em pegar emprestadas as técnicas bem-sucedidas de outros criminosos, o que torna mais difícil determinar quem está por trás deles.
Retaliação não realizada
O relatório do Google considera as razões pelas quais não houve um aumento nos ataques de ransomware contra infraestrutura crítica durante a guerra, “como era de se esperar após as declarações no início do conflito e a onda anterior de tais ataques em 2021”.
Uma teoria que o Google apresenta é que a resposta dos EUA ao ataque Colonial Pipeline de 2021 e a subsequente prisão na Rússia de membros da gangue de ransomware REvil podem ter dissuadido gangues de ransomware com motivação financeira.
O Google também postula que as sanções contra a Rússia podem ter afetado a disposição das organizações ocidentais de pagar resgates.
Juntamente com a interrupção do ecossistema criminoso da Europa Oriental, o relatório analisa dois outros aspectos da frente de guerra digital: primeiro, observa que “atacantes apoiados pelo governo russo se engajaram em um esforço agressivo e multifacetado para obter uma vantagem decisiva em tempo de guerra em ciberespaço, muitas vezes com resultados mistos.”
Em 2022, a Rússia aumentou a segmentação de usuários na Ucrânia em 250% em comparação com 2020, enquanto a segmentação de usuários nos países da OTAN aumentou mais de 300%.
O relatório também analisa o uso robusto de “operações de informação” pela Rússia, que inclui tudo, desde mídia abertamente apoiada pelo Estado até plataformas e contas secretas, para moldar a percepção pública da guerra.
Ao todo, o relatório conclui: “Está claro que a cibernética agora desempenhará um papel integral em futuros conflitos armados, complementando as formas tradicionais de guerra”. O relatório, disseram seus autores, visa servir “como um chamado à ação enquanto nos preparamos para possíveis conflitos futuros em todo o mundo”.
.
