Analitycy zastanawiają się od dawna, czy hakerzy otrzymują wytyczne od rosyjskiego rządu i do jakiego stopnia gangi są powiązane z różnymi cyberatakami. Zdaniem części analityków odpowiedz na to pytanie jest coraz bardziej jednoznaczna – pisze portal Wired.

Na konferencji bezpieczeństwa Cyberwarcon w Arlington w Wirginii zaprezentowano najnowsze dane dotyczące częstotliwości i celu ataków ransomware na podmioty z siedzibą w Stanach Zjednoczonych, Kanadzie, Wielkiej Brytanii, Niemczech, Włoszech i Francji w okresie poprzedzającym wybory parlamentarne lub prezydenckie w poszczególnych krajach. Wyniki tych badań sugerują dość wyraźnie widoczną zgodność między priorytetami i działaniami rosyjskiego rządu a atakami ransomware przed wyborami w tych sześciu krajach.

W ramach projektu przeanalizowano zestaw danych obejmujący ponad 4000 ataków ransomware przeprowadzonych w 102 krajach w okresie od mają 2019 do maja 2022 roku. Analiza prowadzona przez zespół Karen Nershi, naukowca z Stanford Internet Observatory i Center for International Security and Cooperation, wykazała statystycznie znaczny wzrost ataków ransomware przeprowadzanych przez rosyjskie gangi na podmioty w sześciu krajach tuż przed wyborami. Kraje te padły ofiarą największej liczby ataków ransomware rocznie, co stanowi około trzech czwartych wszystkich ataków. Im bliżej wyborów tym bardziej zmasowane ataki.

Karen Nershi powiedziała Wired, że jej zespół analityków zaobserwował szczególnie duży wzrost ataków ransomware przeprowadzanych przez dwie grupy z Rosji. Ataki rozpoczynały się 4 miesiące przed wyborami i trwały średnio dwa kolejne miesiące.

Czytaj więcej

„Mściwa para” z Wietnamu usunęła dane wielkiej sieci hoteli dla zabawy

Naukowcy dane ściągnęli ze stron dark web, gdzie gangi dzielą się informacjami i sprzedają dane ofiar. Karen Nershi i analityczka Shelby Grossman, naukowiec z Stanford Internet Observatory, skupiły się na tak zwanych atakach „podwójnego wymuszenia”, w których hakerzy włamują się do sieci docelowej i kradną dane przed umieszczeniem oprogramowania ransomware w celu zaszyfrowania systemów. Następnie atakujący żądają okupu nie tylko w zamian za klucz odszyfrowywania, ale także za zachowanie skradzionych danych w tajemnicy zamiast ich sprzedaży. Badacze twierdzą, że zazwyczaj większość grup hackerskich chwali się w dark webie swoimi atakami i sukcesami jakie odnieśli, tzn., gdzie udało im się włamać i ile na tym zarobili.

Z badań jednoznacznie wynika, że nie-rosyjskie gangi ransomware nie odnotowały statystycznie istotnego wzrostu liczby ataków w okresach poprzedzających wybory. Podczas gdy gangi rosyjskie zwiększyły w tym samym czasie swoją aktywność o średnio 41 procent.

Rosyjskie gangi ransomware wyraźnie za cel wybierały sobie głownie za cel organizacje rządowe i infrastrukturę na dwa miesiące przed wyborami krajowymi. Analiza nie wykazała statystycznie istotnego wzrostu liczby ataków na organizacje z sektorów komunikacji, finansów, energii i użyteczności publicznej przed wyborami. Naukowcy podkreślają, że nie ma wyraźnego powiązania między grupami hakerów a rosyjskim rządem. „Ponieważ są to organizacje przestępcze, i to co robia to robią dla czystego zysku, ale wydaje się, że od czasu do czasu rosyjski rząd poprosi ich o przysługę, a oni godzą się na to” – powiedziała portalowi Wired Karen Nershi.

Badanie może potwierdzać to co udało się dowiedzieć o tym jak działa osławiona grupa ransomware Conti. Dane wskazują, że członkowie Conti najprawdopodobniej mają powiązania z rosyjską agencją wywiadowczą FSB. Mają też wiedzę na temat rosyjskich wojskowych operacji hakerskich, wskazując na doraźną współpracę grupy z rosyjskimi władzami. Zdaniem Nershi taki układ pozwala rosyjskim władzom uzyskiwać dane, ale z drugiej strony także zaprzeczać, że maja z atakami cokolwiek wspólnego, zrzucając winę na bliżej nieokreślonych cyberprzestępców.