KillNet aumenta le proprie capacità e stringe nuove collaborazioni

Lug 20, 2023 Marina Londei Approfondimenti, Attacchi, Campagne malware, In evidenza, RSS 0

Mandiant, azienda di sicurezza americana, ha pubblicato un’analisi aggiornata dell’attività del gruppo KillNet, sospettato di essere affiliato col governo russo. L’azienda ha cominciato a tracciare l’attività del gruppo da gennaio 2022, ovvero un mese prima dell’inizio del conflitto russo-ucraino; da quel momento a oggi, KillNet ha rivendicato la responsabilità di centinaia di attacchi DDoS, furto di dati e fughe di notizie contro organizzazioni di un’ampia gamma di settori.

Mandiant ha identificato, tra il 1° gennaio e il 20 giugno 2023, più di 500 vittime diverse colpite dagli attacchi DDoS di Killnet. Le campagne erano dirette principalmente a obiettivi negli Stati Uniti, nei Paesi europei e a istituzioni internazionali come la NATO.

Credits: timbrk – Depositphotos

Le azioni rivendicate da Killnet, sottolinea Mandiant, sono sempre state in linea con gli obiettivi strategici russi; è evidente che il gruppo non solo supporta il governo russo, ma probabilmente è anche legato a esso. Sebbene non ci siano prove tangibili su questo legame, non si può escludere l’esistenza di qualche tipo di coordinazione tra i membri del gruppo e quelli delle organizzazioni vicine al governo.

KillNet ha moltiplicato le proprie capacità

Nonostante KillNet si sia principalmente dedicato ad attacchi DDoS di basso impatto, soprattutto negli ultimi mesi la sua attività si è moltiplicata raggiungendo un numero sempre più alto di Paesi dentro e fuori l’Unione Europea; ciò è stato possibile grazie a una ricca rete di affiliati che si sono uniti alla causa e hanno supportato le operazioni del gruppo.

All’inizio del 2023 il gruppo, forte delle nuove collaborazioni, ha annunciato un’operazione focalizzata sulla NATO creando anche un canale Telegram dedicato. Poco dopo KillNet ha affermato di aver compromesso “Joint Advanced Distributed Learning”, il sito di e-learning dell’organizzazione, pubblicando diverse immagini del leak.

A questo si aggiungono l’attacco alla Banca Europea per gli investimenti che ha portato all’inagibilità delle due pagine principali del sito, e quello ai servizi Microsoft rivendicato da Anonymous Sudan, gruppo di hacktivisti legato a KillNet.

Il gruppo ha inoltre affermato di aver collaborato col noto gruppo ransomware REvil e con Conti, anche se non ci sono conferme a riguardo.

Gli affiliati di KillNet

Al momento si contano 9 tra gruppi e collaboratori attivi legati a KillNet, tra i quali UserSec, TitanStealer, Tesla Botnet e KillMilk, il presunto fondatore del gruppo e principale coordinatore delle sue attività.

Tra tutti, l’affiliato più prolifico di KillNet del 2023 è senza dubbio Anonymous Sudan: Mandiant riporta che il 63% degli attacchi DDoS rivendicati dal gruppo sono stati a opera del suo affiliato numero uno, e hanno causato interruzioni a un livello mai visto prima tra i loro “soci”.

Pixabay

Anonymous Sudan ha annunciato la sua collaborazione con KillNet a gennaio scorso e da quel momento ha cominciato a colpire organizzazioni critiche in Europa, prendendo di mira per lo più la Svezia, l’Olanda e la Danimarca. Anonymous Sudan ha permesso al gruppo filorusso di espandere la rete di attacchi, includendo anche Paesi al di fuori dell’Europa come Israele ed Etiopia.

L’aumento delle capacità del gruppo indica un potenziale incremento degli investimenti esterni, rafforzando l’idea dell’esistenza di un legame con lo Stato russo. Mandiant prevede che KillNet e i suoi affiliati continueranno con gli attacchi DDoS, diventando sempre più violenti.

“Gli attivisti filorussi stanno davvero cercando di catturare la nostra attenzione colpendo obiettivi eclatanti e assumendo differenti identità” ha affermato John Hultquist, Chief Analyst, Mandiant Intelligence, Google Cloud. “Potrebbero riuscire a portare a termine un incidente grave, ma dobbiamo ricordare che gli effetti immediati non sono così importanti per loro tanto quanto minare il nostro senso di sicurezza generale”.

Condividi l'articolo