0
0
O SecurityScorecard reuniu uma lista de endereços IP de proxy usados pela KillNet para lançar ataques distribuídos de negação de serviço (DDoS) contra várias entidades em todo o mundo no ano passado.
A KillNet assumiu a responsabilidade por ataques DDoS contra hospitais e aeroportos nos Estados Unidos , bem como organizações financeiras e governamentais na Alemanha . O grupo pró-Rússia tem como alvo os países que apoiam a Ucrânia, especialmente os países da OTAN.
Em um ataque DDoS, o grupo de ataque faz com que milhares de solicitações de conexão e pacotes sejam enviados ao servidor ou site da entidade alvo por minuto. O ataque é possibilitado por bots – sistemas comprometidos que estão sendo aproveitados pelo grupo de ataque. O grande volume e tamanho dessas solicitações e pacotes podem desacelerar o sistema de destino ou até sobrecarregá-lo a ponto de não estar mais disponível.
Em janeiro, os ataques do KillNet tiraram do ar sites de 14 hospitais; organizações afetadas incluíram Hospitais e Centros de Saúde da Universidade de Michigan, Hospital Stanford, Universidade Duke e Cedars-Sinai. Deixar sites off-line por dias ou interromper a conectividade da rede pode interferir no atendimento ao paciente: os pacientes podem ser impedidos de agendar consultas e os médicos podem não conseguir enviar e receber informações de saúde on-line. Tanto o Departamento de Saúde e Serviços Humanos dos EUA (HHS) quanto a American Hospital Associationdivulgaram avisos de que o KillNet representava uma ameaça para as organizações de saúde.
“Embora os ataques DDoS da KillNet geralmente não causem grandes danos, eles podem causar interrupções de serviço que duram várias horas ou até dias”, disse a AHA.
A lista de bloqueio do SecurityScorecard, que lista dezenas de milhares de endereços IP de proxy usados pelos hacktivistas em ataques DDoS anteriores, pode ser particularmente útil para defensores em organizações de saúde. As equipes de segurança podem usar a lista, que é atualizada regularmente pela equipe de pesquisadores do SecurityScorecard, e implantar regras de firewall para bloquear a entrada de tráfego malicioso na rede. A lista também pode oferecer suporte a monitoramento e investigações de rede para identificar e rastrear as atividades do invasor.
No momento, são apenas ataques DDoS, mas também existe a preocupação de que outros grupos criminosos – como gangues de ransomware – que compartilham as opiniões políticas da KillNet se juntem para atacar essas organizações.
“É provável que grupos ou operadores de ransomware pró-Rússia, como os do extinto grupo Conti, atendam ao chamado da KillNet e forneçam suporte”, alertou o HHS. “Isso provavelmente resultará em entidades visadas pela KillNet também sendo atingidas por ataques de ransomware ou DDoS como meio de extorsão, uma tática que vários grupos de ransomware usaram”.
A análise da Cloudflare mostra um aumento na atividade de DDoS contra organizações de saúde e que já pode haver vários atores de ameaças agindo em nome da KillNet.
“Os ataques observados pela rede global Cloudflare não mostram uma indicação clara de que eles são originários de um único botnet e os métodos e fontes de ataque parecem variar”, disse Cloudflare na semana passada. “Isso pode indicar o envolvimento de vários atores de ameaças agindo em nome da Killnet, ou pode indicar um ataque coordenado mais sofisticado”.
FONTE: DARK READING