Se advirtió a las organizaciones de atención médica en países alineados con la defensa de Ucrania que pueden estar en riesgo de un ataque cibernético por parte de hacktivistas rusos después de una serie de ataques vinculados al infame grupo Killnet que se desarrollaron en los últimos días.
Killnet es un grupo hacktivista de actores políticamente motivados que se han alineado con la guerra de agresión de Putin. Lleva a cabo ataques de denegación de servicio (DDoS) distribuidos generalizados contra objetivos que han atraído la ira de Rusia, y se ha vuelto infame desde que comenzó la guerra por sus campañas.
Intensificó sus ataques nuevamente luego de la decisión de la semana pasada de los gobiernos de Alemania y los EE. UU. de suministrar tanques a Ucrania, y la agencia federal de seguridad cibernética de Alemania, la BSI, informó incidentes en múltiples organismos gubernamentales.
Sin embargo, en los últimos días, parece haber centrado su atención en el sector de la salud, instituciones para las cuales la interrupción de la red, aunque sea temporal, podría resultar altamente peligrosa.
El lunes 30 de enero, afectó a varios “sistemas” hospitalarios en los EE. UU., pero poco antes de esto, apareció en línea una lista de objetivos potenciales en el sector de la salud, incluidas varias instituciones del Reino Unido.
La lista fue compartida a través de Twitter. por un investigador de amenazas independiente y posteriormente compartido con Computer Weekly. Nombra instituciones en ciudades de todo el Reino Unido, incluido el Royal Hospital Chelsea, un hogar de retiro y atención para veteranos en lugar de un hospital involucrado en la atención de primera línea del NHS. También especifica proveedores de atención médica en Alemania, los Países Bajos, Noruega y los EE. UU.
Deryck Mitchelson, CISO de campo en Check Point Software, dijo: “Sabemos lo paralizante que puede ser un ataque en el NHS. Vimos importantes interrupciones de TI el año pasado como resultado de un ataque de ransomware en la cadena de suministro, gran parte del cual continúa teniendo un impacto en la actualidad.
“A medida que se brindan más servicios en línea, la interrupción de los ataques DDoS podría ser aún más dañina y podría afectar la atención de emergencia, las citas programadas y las consultas de telesalud.
“Aunque esta última campaña de Killnet está diseñada para causar interrupciones para lograr la máxima exposición en lugar del robo de datos, no debemos tomar estas amenazas a la ligera. Debería ser un recordatorio de que debemos priorizar medidas de seguridad sólidas en servicios críticos para evitar futuras infracciones exitosas”, dijo Mitchelson.
Una advertencia de la historia cibernética
Un ataque DDoS, el modus operandi del grupo, es una forma relativamente sencilla de ataque cibernético que inunda los servidores, el sitio web o los recursos de la red de sus objetivos con mensajes basura, solicitudes de conexión o paquetes con formato incorrecto, lo que hace que se ralenticen o se bloqueen. Por lo general, están destinados más a causar una interrupción temporal que cualquier otra cosa, e históricamente fueron favorecidos, y aún lo son, por los hacktivistas, incluidos grupos como Anonymous, precisamente por esta razón.
De hecho, según Alexander Heid, director de investigación y desarrollo de SecurityScorecard, especialista en clasificación de seguridad y gestión de riesgos, se podría decir que gran parte de la metodología de Killnet está inspirada en Anonymous.
Según Heid, Killnet tiene dos vectores de ataque principales. Su arma principal se conoce como el kit de herramientas CC-Attack, que consta de muy pocas herramientas y requiere habilidades limitadas para implementar. Genera tres tipos de ataques de Capa 7 diferentes: Get flood, Head flood y Post flood, que son términos relacionados con las solicitudes específicas con las que se inunda la infraestructura de destino.
También hace uso de una herramienta conocida como Low Orbit Ion Cannon (LOIC), una venerable herramienta de piratería popularizada por Anonymous, que Heid dijo que se discutía con frecuencia en el canal cifrado de Telegram donde se organiza Killnet. Nuevamente, es simple y fácil de usar, atractivo para los actores de amenazas de nivel de entrada. Si bien se mitiga fácilmente, lo que hace que sus ataques sean generalmente ineficaces, el LOIC aún es capaz de generar mucho ruido.
Partidarios destacados
Aunque lo más probable es que opere a instancias explícitas del Kremlin, también se sabe que Killnet tiene algunos partidarios destacados dentro de Rusia, según información de inteligencia reciente publicada por el jefe de inteligencia de amenazas de Radware, Daniel Smith.
En su pieza, Explorando los círculos sociales de Killnet, Smith explora cómo Killnet está atrayendo apoyo y, lo que es más importante, financiación. Algunos de los patrocinadores que encontró incluyeron a un rapero ruso, Kazhe Oboyma, quien lanzó una canción el año pasado llamada Killnet Flow (discreto anónimo).
Smith también explora cómo obtuvo el apoyo de una empresa llamada HooliganZ, un negocio de joyería con sede en Moscú, que ha producido una línea de anillos de sello inspirados en Killnet y ha estado donando la mitad de las ganancias de sus ventas de mercadería de pandillas a la operación. Esto fue informado por primera vez por el periódico noruego. Dagbladet.
Mientras tanto, los habitantes del mercado de la web oscura de Solaris supuestamente se unieron para tener un látigo para Killnet, según otro informe, y donaron más de $ 40,000 en bitcoins a la pandilla.