0
0
Em comunicado, a gangue diz que continuará atacando entidades ocidentais, mas, em vez de fazê-lo “altruisticamente”, receberá ordens de entidades privadas e públicas por dinheiro
Os movimentos recentes do grupo de hackers pró-Rússia Killnet — que incluem a consolidação do alcance de seu guarda-chuva — sinalizam uma mudança de estratégia nos ataques cibernéticos. A gangue anunciou em 27 de abril no Telegram que está encerrando suas atividades hacktivistas e fazendo um rebranding alterando o nome para Black Skills, que o grupo apelidou de “empresa privada de hackers militares”.
De acordo com o comunicado, o grupo continuará atacando entidades ocidentais, mas, em vez de fazê-lo “altruisticamente”, receberá ordens de entidades privadas e públicas por dinheiro.
O Killnet também anunciou outra “reorganização” de suas fileiras. Esta é ao menos a terceira reorganização que o grupo anuncia desde setembro do ano passado, quando se transformou em um “coletivo”, com o objetivo de absorver grupos hacktivistas menores sob seu guarda-chuva. O anúncio aconteceu alguns dias depois que informações sobre as supostas identidades reais dos membros do núcleo principal do Killnet começaram a circular online.
O fundador do Killnet, “Killmilk”, também afirmou que uma pessoa não identificada tentou convencê-los a atacar o site do Immortal Regiment, um grande evento comemorativo patrocinado pelo governo na Rússia, e sugeriu ao grupo que fosse mais vigilante sobre seus movimentos. Isso foi republicado por vários canais afiliados ao Killnet. Não está claro se alguém realmente fez tal oferta, pois apenas a conta de Killmilk é conhecida.
Curiosamente, o Killnet não postou nenhuma atualização sobre o Black Skills desde março. Nos últimos meses, o grupo tentou várias maneiras de obter dinheiro, embora pareça que as tentativas foram malsucedidas ou, no mínimo, insuficientes. Entre as ações dos hackers nesse sentido estão a busca por patrocínio do governo russo e de empresários russos nos últimos meses; a venda de acesso a vários documentos exfiltrados de países da Otan; a venda do fórum Infinity, que o grupo criou em dezembro do ano passado, a criação da “escola de hacking” ( cada curso custa US$ 249), que aparentemente ainda não foi lançada; anúncio de seus serviços DDoS pagos e o pedido de dinheiro a seus seguidores.
Talvez por isso o Killnet continua sendo ridicularizado nos fóruns de língua russa de primeira linha. No Exploit, por exemplo, um tópico no qual o líder do grupo, Killmilk, anunciava a venda do Infinity, gerou zombaria generalizada, com usuários oferecendo algumas centenas de dólares pelo que muitos deles consideravam uma causa perdida.
Vários usuários dos fóruns de primeira linha Exploit e XSS também especulavam que, por meio da “escola de hackers”, o Killnet simplesmente revenderia antigos manuais de hackers disponíveis no WWH-Club, outro fórum ilícito especializado na disseminação de materiais sobre instrusão.
O Flashpoint apontou várias vezes que, apesar da postura nacionalista, o Killnet permaneceu um grupo motivado principalmente por ganhos financeiros, que usou a exposição obtida por um ávido ecossistema de mídia russo pró-Kremlin para promover seus serviços DDoS de aluguel. O Killnet fez parceria com vários provedores de botnet, bem como com o Deanon Club, um grupo de ameaças parceiro, para atingir os mercados da darknet focados em narcóticos.
Embora não haja indicação de que o Killnet tenha desenvolvido táticas, técnicas e procedimentos (TTPs) mais sofisticados nos últimos meses, o movimento mais aberto do grupo para se tornar “cibermercenário” pago deve ser motivo de preocupação, pois fornece um projeto ou modelo para outros grupos. O Phoenix, Akur e Legion, grupos anteriormente associados ao Killnet, haviam feito movimentos claros em relação ao cibercrime. O Phoenix até montou um canal no Telegram para anunciar e vender acessos e dados exfiltrados. O Legion criou sua própria “empresa privada de hackers militares”.
O grau de associação de grupos hacktivistas pró-Kremlin com serviços de segurança russos é desconhecido e provavelmente varia. Anteriormente, pesquisadores da Mandiant vincularam a XakNet e o Exército Cibernético da Rússia aos serviços de segurança russos, sugerindo que os grupos agiam como fachada para compartilhar informações obtidas ilegalmente por grupos apoiados pelo Estado. O arranjo deu fama aos grupos, enquanto as organizações apoiadas pelo governo tinham negação plausível.
Um movimento mais decisivo em direção ao crime cibernético pode resultar em uma situação em que grupos apoiados por Estados-nação usam “mercenários cibernéticos” como procuradores para sondar as defesas cibernéticas de organizações ocidentais. Definitivamente, há interesse em fazê-lo: veja ataques de ransomware no final de 2022 em empresas de logística polonesas, atribuídos a grupos APT russos.
FONTE: CISO ADVISOR