El grupo de hacktivistas KillNet alineado con Rusia, que ha estado detrás de una serie de ataques distribuidos de denegación de servicio (DDoS) contra objetivos occidentales desde el estallido de la guerra de Ucrania, continúa aumentando constantemente sus capacidades y es probable que utilice grupos afiliados recién creados o absorbidos para realizar ataques más impactantes, pero su objetivo principal probablemente sigue siendo llamar la atención.
Esto es según el análisis del grupo realizado por investigadores de amenazas en Mandiant, respaldado por Google Cloud, quienes dijeron que hasta hace poco los ataques del grupo KillNet habían generado “solo impactos superficiales que duraban cortos períodos de tiempo”.
Sin embargo, el surgimiento de nuevos grupos asociados, en particular Anonymous Sudan, que no es ni anónimo ni sudanés, está provocando que más organizaciones se sienten y tomen nota, dijo Mandiant.
“El autoproclamado grupo hacktivista Anonymous Sudan parece haber aumentado las capacidades de KillNet y el grupo se ha convertido en el afiliado más prolífico del colectivo en 2023, realizando la mayoría de los supuestos ataques DDoS. Anonymous Sudan ha causado interrupciones significativas a un nivel no observado anteriormente por los afiliados de KillNet”, escribió el equipo de investigación.
Según los cálculos de Mandiant, Anonymous Sudan ha cometido alrededor del 63 % de los ataques DDoS atribuidos al colectivo este año, seguido por UserSec (14 %) y KillNet (10 %).
En particular, Anonymous Sudan, también rastreado como Storm-1359, fue responsable de un ataque DDoS extremadamente exitoso contra Microsoft, que causó interrupciones en el servicio para los usuarios de sus productos Azure, OneDrive y Outlook a principios de junio.
UserSec, mientras tanto, estuvo esta semana detrás de un incidente que vio interrumpidos los sitios web de los aeropuertos de Birmingham y London City por un corto tiempo.
El colectivo KillNet también ha afirmado haber incorporado operativos asociados con el grupo de ransomware REvil y ha establecido vínculos con Conti.
Mandiant dijo que la estructura general, el liderazgo y las capacidades del grupo estaban claramente experimentando cambios sustanciales y parecen estar progresando hacia un modelo que incluye estas “marcas” de delitos cibernéticos más nuevas y de mayor perfil que actúan para atraer la atención mundial además de la atraída por KillNet.
Según John Hultquist, analista jefe de Mandiant Intelligence, la búsqueda de atención es, hasta cierto punto, el objetivo principal del colectivo.
“Los hacktivistas pro-rusos realmente están intentando piratear nuestra atención atacando objetivos llamativos y asumiendo una serie de identidades”, dijo Hultquist a Computer Weekly. “Pueden tener éxito en llevar a cabo un incidente grave, pero debemos recordar que los efectos inmediatos no son tan importantes para ellos como socavar nuestra sensación de seguridad”.
Orientación consistente pero sin prueba de vínculos con el Kremlin
Mandiant dijo que si bien KillNet mantuvo una orientación constante que estaba en línea con los objetivos geopolíticos rusos, no había podido obtener ninguna evidencia que confirmara directamente que el grupo está colaborando con los servicios de inteligencia y seguridad rusos, o siendo asignado por ellos, aunque el ataque de Anonymous Sudan a Microsoft puede indicar un aumento en la inversión externa, lo que puede sugerir vínculos más firmes de lo que se pensaba anteriormente.
“Anticipamos que KillNet y sus afiliados continuarán con los ataques DDoS y se volverán más descarados al atacar a las organizaciones”, dijo el equipo de investigación.