TOP 5 rosyjskich internetowych grup przestępczych

2 marca, 2022

Końca wojny niestety nie widać za to baczny obserwator zauważy, że walka także trwa w cyberprzestrzeni. Zwykle zrzeszeni w gangu przestępcy kierują się zyskiem i nie atakują cywilnych służb ratowniczo-medycznych. Przytaczać skrajnych przypadków cyberataków na placówki służby zdrowia nie będziemy, ponieważ najprawdopodobniej nie są one celowane. Za to mogą być wynikiem luki w usługach sieciowych w infrastrukturze krytycznej szpitali, oddziałów medycznych, punktów pomocy humanitarnej.

Podatności w zainstalowanym oprogramowaniu serwerowym stają się furtką dostępu do danych oraz informacji osobowych, a powszechny dostęp do narzędzi ofensywnych i automatyzacja cyberataków wprowadzają w błąd, kiedy masowe media informują o ukierunkowanym incydencie bezpieczeństwa.

W cyberwojnie ukraińsko-rosyjskiej przestępcy, którzy nie zgadzają się z polityką Kremla, odłączają się od Rosjan, z którymi do tej pory współpracowali. Wojna nie pozostaje tematem tabu w świecie przestępczym. Nawet tam dochodzi do ekscesów, którym teraz dajemy trochę światła. 

Cybergang Conti opowiedział się po stronie Rosji

Conti przeciwko Ukrainie
Notatka wystosowana od gangu Conti – wyraźnie wspierają Rosję, grożąc innym, że będą atakować krytyczną infrastrukturę swoich przeciwników.

Ukraiński badacz bezpieczeństwa opublikował dyskusję pomiędzy jego ukraińskim rodakiem a drugim rosyjskim członkiem cybergangu Conti – jest to jedna z największych grup przestępczych wykorzystująca szkodliwe oprogramowanie szyfrujące i niszczące dane (ransomware).

Interesujące jest to, że na wyciek zareagował Fabian Wosar – dyrektor techniczny firmy Emsisoft, która od lat uczestniczy w międzynarodowym projekcie No More Ransom, pomagając w opracowywaniu narzędzi do odszyfrowywania plików po ataku ransomware.

Grupa Conti opowiedziała się po stronie Rosji w wojnie z Ukrainą. Zrozumiałe jest, że nie spodobało się ukraińskiemu członkowi gangu. W odwecie przesłał dziennikarzom mnóstwo kompromiujących danych.

Z wycieku danych dowiadujemy się, że:

1. Istnieją powiązania grupy Conti z innymi gangami przestępców, którzy są odpowiedzialni za ataki z użyciem trojanów TrickBot i Emotet. Gang Conti często wynajmował od swoich „kolegów z branży” dostęp do już zainfekowanych komputerów, aby zainstalować kolejne szkodliwe oprogramowanie. Dzięki Rapid7 wiemy już jak wygląda sterowanie oprogramowaniem Conti:

Conti panel sterowania
Wgląd w panel sterowania oprogramowaniem przestępczym gangu Conti.

2. W wycieku czytamy o negocjacjach okupu i płatności od firm, które nie ujawniły naruszenia danych osobowych lub incydentu związanego z oprogramowaniem ransomware.

3. Policja będzie mogła dołączyć do śledztwa adresy portfeli Bitcoin, gdzie ofiary wpłacały okup za odzyskanie plików.

4. Conti próbowało stworzyć platformę testową, aby szybko sprawdzać wykrywalność swojego szkodliwego oprogramowania na aplikacjach zabezpieczających. Mowa była o rozwiązaniach od CarbonBlack oraz Sophos.

APT29, Berserk Bear, Buhtrap, Cobalt Group, Corkow, Dragonfly, FIN7, Gamaredon Group, Zombie Spider, Turla

W ostatniej dekadzie pisaliśmy o wielu grupach przestępczych, którym przypisuje się pochodzenie rosyjskie. Nazwy takie jak Turla, Sofacy czy APT29 wskazują na Rosję (zdaniem badaczy, którzy zajmują się tematyką). Te trzy nazwy grup przestępczych są jednymi z najbardziej zaawansowanych, rozbudowanych i nie bez powodu okrytych złą sławą grup specjalizujących się w atakach APT.

APT29 to grupa, która bierze na cel przede wszystkim zachodnie rządy i powiązane z nimi organizacje: ministerstwa i agencje rządowe, polityczne think-tanki, rządowych podwykonawców.

Służba Bezpieczeństwa Ukrainy (SBU) powiązała grupę hakerów Gamaredon z Federalną Służbą Bezpieczeństwa Rosji (FSB). I mieli całkowitą rację, bo doniesienia z 2018 roku ukraińskiego CERT wskazywało na to, że działania przestępcze wymierzone w Ukrainę były operacją do czegoś większego. Kampanie Gamaredonu dotyczyły też polskich placówek dyplomatycznych oraz innych polskich instytucji funkcjonujących na terenie Ukrainy. Ataki były poprzedzone rozpoznaniem, a końcowe złośliwe oprogramowanie przesyłano na wybrane hosty.

Grupa Turla specjalizuje się w zaawansowanych atakach na instytucje rządowe z wykorzystaniem autorskiego oprogramowania oraz mało popularnych exploitów. Podejmowane przez grupę działania są ukierunkowane na pozyskanie informacji powszechnie niedostępnych – poufnych i tajnych.

Rosja jest silna w cyberprzestrzeni

Rosja stanowi jedną z największych potęg we współczesnych wojnach cybernetycznych. Ich zaawansowane narzędzia, nowatorskie strategie i solidna infrastruktura, sugerują istnienie gigantycznych i złożonych operacji, w których udział biorą różne rosyjskie organy wojskowe i rządowe.

W ciągu ostatnich trzech dziesięcioleci Rosja zasłynęła prowadzeniem różnego rodzaju cyberoperacji szpiegowskich i sabotażowych.

Począwszy od pierwszych, powszechnie znanych ataków autorstwa Moonlight Maze w 1996 r., przez włamanie się do systemów Pentagonu w 2008 r., odcięcie prądu w Kijowie w 2016 r., atak hakerski związany z wyborami w USA w 2016 r., po jeden z największych i najsłynniejszych cyberataków w historii – atak na cały kraj przy użyciu oprogramowania szantażującego NotPetya.

Liczne operacje Rosjan i wytworzonych rodzin złośliwego oprogramowania zostały publicznie zdemaskowane przez różne firmy zajmujące się cyberbezpieczeństwem i agencje wywiadowcze, takie jak FBI czy estońska Służba Wywiadu Zagranicznego.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 9

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]