.
Gangues de ransomware baseadas na Rússia são alguns dos mais prolíficos e agressivos, em parte graças a um aparente porto seguro que o governo russo oferece a eles. O Kremlin não coopera com investigações internacionais de ransomware e normalmente se recusa a processar cibercriminosos que operam no país, desde que não ataquem alvos domésticos. Uma questão de longa data, porém, é se esses hackers motivados financeiramente recebem diretrizes do governo russo e até que ponto as gangues estão conectadas ao hacking ofensivo do Kremlin. A resposta começa a ficar mais clara.
Nova pesquisa apresentada na conferência de segurança Cyberwarcon em Arlington, Virgínia, analisa hoje a frequência e o direcionamento de ataques de ransomware contra organizações sediadas nos Estados Unidos, Canadá, Reino Unido, Alemanha, Itália e França no período que antecedeu esses ataques. eleições nacionais dos países. As descobertas sugerem um alinhamento frouxo, mas visível, entre as prioridades e atividades do governo russo e os ataques de ransomware que antecederam as eleições nos seis países.
O projeto analisou um conjunto de dados de mais de 4.000 ataques de ransomware perpetrados contra vítimas em 102 países entre maio de 2019 e maio de 2022. Liderados por Karen Nershi, pesquisadora do Stanford Internet Observatory e do Centro de Segurança e Cooperação Internacional, a análise mostrou um aumento significativo nos ataques de ransomware de gangues baseadas na Rússia contra organizações nos seis países vítimas antes de suas eleições nacionais. Essas nações sofreram o maior número de ataques de ransomware por ano no conjunto de dados, cerca de três quartos de todos os ataques.
“Usamos os dados para comparar o momento dos ataques para grupos que acreditamos serem baseados na Rússia e grupos baseados em outros lugares”, disse Nershi à Strong The One antes de sua palestra. “Nosso modelo analisou o número de ataques em um determinado dia, e o que encontramos é essa relação interessante em que, para esses grupos baseados na Rússia, vemos um aumento no número de ataques começando quatro meses antes de uma eleição e movendo três, dois , um mês depois, até o evento.”
O conjunto de dados foi retirado dos sites da dark web que as gangues de ransomware mantêm para nomear e envergonhar as vítimas e pressioná-las a pagar. Nershi e o colega pesquisador Shelby Grossman, acadêmico do Stanford Internet Observatory, se concentraram nos chamados ataques populares de “dupla extorsão”, nos quais hackers violam uma rede de destino e exfiltram dados antes de plantar ransomware para criptografar sistemas. Em seguida, os invasores exigem um resgate não apenas pela chave de descriptografia, mas também para manter os dados roubados em segredo, em vez de vendê-los. Os pesquisadores podem não ter capturado dados de todos os atores de dupla extorsão existentes, e os invasores podem não postar sobre todos os seus alvos, mas Nershi diz que a coleta de dados foi completa e que os grupos normalmente têm interesse em divulgar seus ataques.
As descobertas mostraram amplamente que as gangues de ransomware não russas não tiveram um aumento estatisticamente significativo nos ataques no período que antecedeu as eleições. Considerando que, a dois meses de uma eleição nacional, por exemplo, os pesquisadores descobriram que as organizações nos seis principais países vítimas tinham uma chance 41% maior de ter um ataque de ransomware de uma gangue sediada na Rússia em um determinado dia, em comparação com a linha de base .
.
