Jonathan Greig er journalist med base i New York City.
Fuld bio den 25. februar 2022 | Emne: Sikkerhed
Flere ransomware-grupper og medlemmer af hacktivist-kollektivet Anonymous annoncerede i denne uge, at de blander sig i den militære konflikt mellem Ukraine og Rusland.
Torsdag meddelte medlemmer af Anonymous på Twitter, at de ville iværksætte angreb mod den russiske regering. Hacktivisterne skændte nogle lokale myndigheders websteder i Rusland og fjernede midlertidigt andre, herunder webstedet for det russiske nyhedsmedie RT.
Gruppen hævdede fredag, at den ville lække loginoplysninger til det russiske forsvarsministeriums hjemmeside.
Handlingerne kom få timer efter, at Yegor Aushev, medstifter af et Kyiv-baseret cybersikkerhedsfirma, fortalte Reuters, at han blev bedt af en højtstående embedsmand i det ukrainske forsvarsministerium om at offentliggøre en opfordring til hjælp inden for hackersamfundet. Aushev sagde, at forsvarsministeriet ledte efter både offensive og defensive cyberaktører.
Anonymous var ikke den eneste gruppe, der blev involveret i konflikten. Fredag offentliggjorde ransomware-grupperne Conti og CoomingProject beskeder, der sagde, at de støttede den russiske regering.
En besked indsendt af medlemmer af Conti ransomware-gruppen.
Brett Callow
Conti sagde, at det officielt annoncerede fuld støtte til den russiske regering, og skrev, at “hvis et organ vil beslutte at organisere et cyberangreb eller krigsaktiviteter mod Rusland, vil vi bruge vores alle mulige ressourcer til at slå tilbage på den kritiske infrastruktur i en fjende.”
Mange eksperter fortolkede budskabet som et svar på en NBC-historie, der udkom torsdag, der indikerer, at USA's præsident Joe Biden allerede er blevet præsenteret for flere muligheder for ødelæggende cyberangreb på russisk infrastruktur. Det Hvide Hus afviste højlydt rapporten.
Kort efter at have frigivet beskeden reviderede Conti den, hvilket mildnede tonen og støttede den russiske regering. Den opdaterede erklæring sagde, at Conti ville bruge sin “fulde kapacitet til at levere gengældelsesforanstaltninger i tilfælde af, at de vestlige krigsmagere forsøger at målrette kritisk infrastruktur i Rusland eller nogen russisktalende region i verden.”
“Vi allierer os ikke med nogen regering, og vi fordømmer den igangværende krig. Men da Vesten er kendt for at føre sine krige primært ved at målrette civile, vil vi bruge vores ressourcer til at slå tilbage, hvis fredelige borgeres velfærd og sikkerhed vil være på spil på grund af amerikansk cyber-aggression,” stod der i den nye Conti-meddelelse.
#Conti #ransomware har lige ændret formuleringen af deres erklæring vedrørende Ruslands støtte. Påstår, at de ikke allierer sig med nogen regering og fordømmer krigen.@VK_Intel @malwrhunterteam pic.twitter.com/JaLYPlDjwb
— Yelisey Boguslavskiy (@y_advintel) 25. februar 2022
Meddelelserne kom, da Ukraine fortsat stod over for en byge af DDoS-hændelser, phishing-angreb og malware. CERT-UA sagde, at militært personel blev sendt til phishing-beskeder og tilskrev kampagnen til officerer i det hviderussiske forsvarsministerium. Internetforbindelse over hele landet fortsætter med at være intermitterende, hvor Netblocks rapporterer udfald i flere byer.
Eksperter var ekstremt på vagt over for eksterne grupper, der valgte side i konflikten og lancerede angreb på deres vegne. Udmeldingerne skræmte yderligere eksperter, da NATO's generalsekretær Jens Stoltenberg fredag sagde, at “cyberangreb kan udløse artikel 5” i NATO-charteret.
Cybersikkerhedsfirmaet Sophos sagde, at erklæringerne fra Conti og Anonymous “øger risikoen for alle, uanset om de er involveret i denne konflikt eller ej.”
“Vigilante-angreb i begge retninger øger krigens tåge og skaber forvirring og usikkerhed for alle,” sagde Sophos.
Emsisofts trusselsanalytiker Brett Callow kaldte situationen “uforudsigelig og flygtig”, men bemærkede, at Conti tidligere har fremsat modige politiske påstande.
“Dette er nok også bare bluster [men] det ville være en fejl at antage, at truslen er tom. Hvis din virksomhed ikke allerede er gået Shields Up, er tiden nu inde,” sagde Callow.
Casey Ellis, CTO for Bugcrowd, sagde, at en af hans primære bekymringer med den seneste udvikling er den relative vanskelighed ved at tilskrive cyberangreb, såvel som muligheden for forkert tilskrivning eller endda en bevidst falsk flag-operation, der eskalerer konflikten internationalt.
Contis holdningserklæring er bemærkelsesværdig i lyset af Ruslands seneste undertrykkelse af cyberkriminalitet og løsepenge, fordi den signalerer, at de enten handler uafhængigt, som de andre grupper ser ud til at være, eller muligvis opererer med Kremls velsignelse, forklarede Ellis.< /p>
Digital Shadows' Chris Morgan bemærkede, at deres data viser, at Conti var den næstmest aktive ransomware-gruppe i 2021 målt efter antal ofre. Morgan sagde, at de tilskrev flere angreb mod kritisk national infrastruktur til Conti, herunder angreb på sundhedssektoren i USA, New Zealand og Irland.
Den irske regering udgav en rapport i denne uge, der siger, at Conti ransomware-angrebet, der ramte dem sidste år, kan koste mere end $100 millioner at komme sig fra.
“Contis aktiviteter er også for nylig blevet styrket ved at ansætte udviklerne af den berygtede Trickbot-trojan, hvilket også har gjort dem i stand til at kontrollere udviklingen af en anden malware, BazarBackdoor, som gruppen nu bruger som deres primære indledende adgangsværktøj. Conti omdefinerer konsekvent og udvikle deres arbejdsprocesser og bør betragtes som en ressourcestærk og sofistikeret modstander,” sagde Morgan.
Optaget fremtidsekspert Allan Liska fortalte ZDNet, at truslen fra ransomware-grupper, der beslutter sig for at gengælde, er reel og burde være en bekymring.
“I betragtning af hvilket varmt rod Conti er lige nu, har jeg svært ved at tro, at de kan organisere en kontorfrokost meget mindre en fokuseret gengældelse. Når det er sagt, ved vi, at ransomware-grupper har flere mål, end de kan ramme lige nu, og vi ved, hvornår Ryuk besluttede sig for for at gøre gengæld mod USA i 2020 var de let i stand til at gøre det,” sagde Liska.
“Mere generelt, hvad enten det er ransomware-grupper, anonyme eller Ukraine, der opfordrer 'Cyber Patriots' til at hjælpe uafhængig cyberaktivitet, vil være en del af enhver militær aktion fremover. Jeg siger ikke, at det er en god idé, det er bare virkeligheden.”
Andre, som senioranalytiker i Flashpoint Andras Toth-Czifra, sagde, at hacktivister, der involverer sig i væbnede konflikter, ikke er en ny udvikling, og forklarer, at Anonymous har rettet mod regeringer før.
Men ligesom Liska sagde Toth-Czifra, at ransomware-grupper, der åbenlyst associerer sig med den russiske regering, ville være en “ny og bekymrende udvikling.”
“Indtil videre har Flashpoint-analytikere ikke observeret væsentlig patriotisk stolthed i ulovlige samfund over Ruslands aggression mod Ukraine, hvilket er i tråd med reaktionen fra den russiske offentlighed generelt. Situationen er anderledes end fremkomsten af ”patriotiske hackere” i konteksten af Ruslands 2008-krig mod Georgien: Mange russisktalende cyberkriminelle bor enten selv i Ukraine eller har ukrainske partnere eller infrastruktur,” forklarede Toth-Czifra.
“Men mens cyber-undergrunden stort set har forblevet neutral indtil videre, skal man ikke glemme, at Ukraine har samarbejdet med vestlige retshåndhævere mod ransomware-bander i de seneste år, hvilket kan påvirke beregningerne af ransomware-kollektiver. Indtil videre har Flashpoint set endnu en produktiv ransomware bande (LockBit), der foreslår, at de ville forblive neutrale.”
Fredag rapporterede BBC om en russisk vigilante-hackergruppe, der hver dag oversvømmede ukrainske regeringsservere med DDoS-angreb efter arbejde. En hacker indrømmede at have sendt 20 bombetrusler til skoler, oprettet en officiel e-mail-adresse til den ukrainske regering og hacket ind i ukrainske embedsmænds dashboard-feeds.
Hackeren pralede åbenlyst af det årvågne arbejde, de planlægger at påtage sig i fremtiden, som han sagde inkluderer brugen af ransomware.
Allegro Solutions CEO, Karen Walsh, sagde, at Conti-erklæringen også kan skabe en vis forvirring for amerikanske virksomheder med cyberforsikringsplaner, der har forbehold for cyberangreb relateret til krige.
“Afhængigt af hvordan de militære juridiske eksperter klassificerer Conti og eventuelle ransomware-angreb begået af cybertrusselsaktører, der handler 'på vegne af' Rusland, kan organisationer opleve, at deres cyberansvarsforsikring ikke hjælper dem. I november offentliggjorde Lloyd's Market Association opdateringer til deres cyberansvarspolitikker, der specifikt adresserer krigsudelukkelse,” sagde Walsh.
“Disse ændringer nævnte især cyberoperationer udført i løbet af krigen. Som en del af risikoreduktionen bør virksomheder begynde at gennemgå deres cyberansvarsforsikringsudelukkelser og sikre sig, at de spørger deres luftfartsselskaber om deres holdning til dette problem.”
Sikkerhed
Ukraine opfordrer frivillige hackere til at beskytte kritisk infrastruktur Cybersikkerhedsudbrændthed er reel. Og det er et problem for os alle. Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Ukrainske regeringswebsteder forstyrret af DDoS, wiper-malware opdagede 10 trin til at forbedre dit cyberforsvar nu Regering | Sikkerheds-tv | Datastyring | CXO | Datacentre