Спецпроекты

Безопасность Новости поставщиков Стратегия безопасности

Украинские и российские хакеры объявили друг другу войну

Атаки с участием программ-вымогателей на российские и украинские компании и госструктуры в начале 2022 г. связаны с военной спецоперацией на Украине. Злоумышленники, как и в пандемию коронавируса, ориентируются на тренды новостной повестки, однако теперь киберинциденты обусловлены гораздо более личными мотивами. Кроме того, оппозиционные группировки киберпреступников сливают данные друг о друге в открытый доступ.

Разделение по политическим убеждениям

Одной из ярких тенденций, которые характеризуют кибератаки программ-вымогателей в 2022 г., стала политическая подоплека инцидентов. Об этом сообщается в отчете «Лаборатории Касперского», который аналитики опубликовали в преддверии Дня защиты от вымогателей.

Эксперты заметили, что киберпреступники активно используют новостную повестку при выборе объектов для своих атак. Похожая ситуация происходила в начале пандемии COVID-19, когда пользовали столкнулись с огромным количеством спама и фишинговых писем, связанных с этой темой. Однако в 2022 г. характер атак изменился, так как хакеры приняли российскую или украинскую стороны конфликта.

«Это делает инциденты гораздо более личными», — сообщают в «Лаборатории Касперского», отмечая, что злоумышленники реагируют на конкретные ситуации и принимают меры со своей стороны.

В 2022 г. характер кибератак изменился, поскольку хакеры приняли российскую или украинскую стороны конфликта, что сделало «инциденты гораздо более личными»

Это случилось, к примеру, с Conti — группировкой, работающей по модели Ransomware-as-a-Service (шифровальщик как услуга), которая, как считается, тесно связана с русскоязычной киберпреступной группой Wizard Spider. Сразу после начала конфликта на Украине группировка объявила об однозначной поддержке российского правительства.

«Если какой-либо орган решит организовать кибератаку или какую-либо военную деятельность против России, мы будем использовать все наши возможные ресурсы, чтобы нанести ответный удар по критическим инфраструктурам противника», — отмечалось в заявлении Conti.

После этого член группировки, работавший из Украины, выступил против своих коллег и выложил в открытый доступ их персональные данные и исходный код программы-вымогателя, чем тут же воспользовались их противники.

Свою политическую позицию также продемонстрировала кибегруппа Stormous.

«Если какие-либо организации, другие группы и иные лица решат организовать кибератаку против российских целей, то мы будет осуществлять серьезные атаки на западные цели, преимущественно на объекты критической инфраструктуры. Мы уже проводили успешные атаки против информационных ресурсов украинского правительства, против украинских авиакомпаний», — сообщается в заявлении киберпреступников. С похожим заявлением выступила CoomingProject.

Сторону Украины, в свою очередь, заняли хак-группировки NB65, взламывавшие российскую платежную систему QIWI и Anonymous, взявшие на себя недавние атаки на RuTube.

«Почти 75% баз данных и инфраструктуры основной версии, а также 90% резервных копий и кластеров для восстановления баз сильно пострадали. Это значит, что Rutube, вероятно, исчез навсегда», — заявили Anonymous. Однако через два дня после атак Rutube заявил о полном восстановлении поврежденной части инфраструктуры сервиса.

Среди других проукраинских группировок — IT Army of Ukraine, RaidForums и «белорусские киберпартизаны», открыто поддерживающие Украину.

Программы для конкретных целей

Свой тезис о политической подоплеке киберинцедентах в «Лаборатории Касперского» подтверждают тем, что в атаках на российские ресурсы участвуют варианты программ-шифровальщиков, которые делают исключительно на Украине и наоборот.

Так, одним из недавно обнаруженных экспертами зловредов стал разработанный проукраинскими сторонниками вайпер Freeud, вредоносное ПО, цель которого — уничтожить данные на диске компьютера-жертвы. В записке о выкупе, которая высылается после активации Freeud, говорится о том, что российские войска должны покинуть Украину.

«Выбор слов и то, как написана записка, наводят на мысль, что она написана носителем русского языка», — уточняют эксперты «Касперского».

Среди программ, которые направлены против украинских организаций — вредоносная программа PHP от Stormous Ransomware с функцией вымогателей, а также DoubleZero wiper.

«Это совершенно новый вайпер, он не похож ни на какие другие известные аналоги и нацелен только на украинские организации», — сообщается в отчете.

Эксперты добавляют, что имеет место серьезный прецедент: бытует мнение, что киберпреступники действуют в интересах государства, когда им за это платят деньги. Сегодня же очевидно, что многие злоумышленники выбирают мишени для атак добровольно, исходя из собственных политических убеждений.

Не только из Украины

Интерес к сетям российских госведомств и структур, военных подрядчиков и логистических компаний в последнее время проявляют не только украинские киберпреступники. Так в начале мая 2022 г. аналитики команды Google Threat Analysis Group (TAG) сообщили, что хакерские группировки Curious Gorge и Bronze President, связанные с военными Китая, сделали Россию своей основной мишенью. При этом Поднебесная продолжает держать нейтралитет в отношении конфликта на территории Украины.

О том, что хакерский интернационал объявил России кибервойну, в середине апреля 2022 г. заявлял и специальный представитель Президента России по вопросам международного сотрудничества в области информационной безопасности, и.о. директора ДМИБ МИД России Андрей Крутских. По его словам, среди жертв кибератак — производители энергоресурсов и сельхозпродукции, транспортные компании, органы исполнительной и судебной власти. В МИД России сообщили, что речь идет о сотне тысяч инцидентов, спровоцированных хакерами из Северной Америки, стран Евросоюза и Украины.

Анжела Патракова

Короткая ссылка