Egy évvel az orosz-ukrán háború kitörése után a Google jelentést adott ki, amelyben áttekintette a kiberbűnözés és -biztonság helyzetét a jelenlegi geopolitikai fejlemények fényében – írja a HVG.
Felforgatta a kelet-európai kiberbűnözői ökoszisztémát az ukrajnai háború, egyúttal átalakította a zsarolóvírus-támadások folyamatát – állítják a Google biztonsági szakértői. Bár a ransomware-ek terjesztése továbbra is jövedelmező, azonban a pénzügyileg motivált fenyegetés szereplői már nem tudják kivonni magukat a geopolitikai fejleményekből – idéz a ZDNet abból az új jelentésből, amelyet a Google Threat Analysis Group (TAG), a Mandiant (a Google Cloud részeként működő kiberbiztonsági cég) és a Google Trust & Safety szakemberei állítottak össze.
„Elmosódnak a határvonalak a pénzügyileg motivált és a kormány által támogatott támadók között Kelet-Európában, mivel a fenyegetés szereplői a regionális geopolitikai érdekeknek megfelelően változtatják célpontjukat” – írja a jelentés. A szövetségek változásával a kiberbűnözők számára már nem tabu, hogy orosz célpontok után menjenek – jegyzi meg a jelentés, hozzátéve, hogy eközben a háború felgyorsította a zsarolóvírus-ökoszisztéma „specializálódását”, ami megnehezíti a bűnözők felderítését.
A Google jelentéséből az is kiderül, hogy prominens ransomware csoportok zártak be a háború alatt. A háború kezdetén a Conti zsarolóvírus-csoport például egyértelműen kinyilvánította, hogy támogatja Oroszországot, és azzal fenyegetőzött, hogy csapást mér az Oroszország ellen fellépő nemzetek kritikus infrastruktúrájára. Ez az álláspont megosztottsághoz vezetett a csoporton belül, kiszivárogtatták a belső kommunikációt és a forráskódot, és ahelyett, hogy a csoport a fenyegetődzés beváltása helyett leállt. A Raccoon kártevő is felfüggesztette a tevékenységét, miután feltételezett fejlesztője elmenekült Ukrajna inváziója elől. Hollandiában tartóztatták le, és most arra vár, hogy kiadják az Egyesült Államoknak. A háború arra is felbátorította a kiberbűnözőket, hogy orosz célpontok után menjenek.
A háború taktikai váltásra is késztette a ransomware csoportokat. A támadók többet kísérleteztek újszerű technikákkal, például új kézbesítési csatornákkal és nem szokványos fájlformátumokkal. A pénzügyi indíttatású támadók gyorsan kölcsönözték más bűnözők sikeres technikáit, ami megnehezíti annak megállapítását, hogy ki áll a támadások mögött.
A Google jelentése azokat az okokat is vizsgálta, amelyek miatt nem növekedtek a kritikus infrastruktúrák elleni ransomware-támadások a háború alatt. Az egyik elmélet szerint az Egyesült Államok válasza a 2021-es Colonial Pipeline támadásra, és a REvil ransomware banda tagjainak ezt követő oroszországi letartóztatása elriaszthatta a pénzügyileg motivált ransomware bandákat. A Google azt is feltételezi, hogy az Oroszország elleni szankciók hatással lehettek a nyugati szervezetek váltságdíj fizetésére.
A jelentés a digitális hadszíntér két másik aspektusát is elemzi. Először is megjegyzi, hogy „az orosz kormány által támogatott támadók agresszív, sokoldalú erőfeszítéseket tettek annak érdekében, hogy döntő háborús előnyt szerezzenek a kibertérben, gyakran vegyes eredménnyel”. 2022-ben Oroszország 250 százalékkal növelte az ukrajnai felhasználók ellen indított támadásokat 2020-hoz képest, míg a NATO-országokban lévő felhasználókat több mint 300 százalékkal többször vették célba.
A jelentés arra is kitér, hogy Oroszország erőteljesen alkalmazza az „információs műveleteket”, amelyek a nyílt állami támogatású médiától a titkos platformokig és beszámolókig mindent magukban foglalnak, hogy alakítsák a háborúról alkotott közvélekedést.
