A Ucrânia assumiu a responsabilidade por um ataque cibernético que teve como alvo a empresa estatal de mídia russa VGTRK e interrompeu suas operações, de acordo com relatórios da Bloomberg e da Reuters.
O incidente ocorreu na noite de 7 de outubro, confirmou a VGTRK, descrevendo-o como um “ataque de hacker sem precedentes”. No entanto, afirmou que “nenhum dano significativo” foi causado e que tudo estava funcionando normalmente, apesar das tentativas de interromper as transmissões de rádio e TV.
Dito isto, o meio de comunicação russo Gazeta.ru informou que os hackers apagaram “tudo” dos servidores da empresa, incluindo backups, citando uma fonte anônima.
Uma fonte disse à Reuters que “hackers ucranianos 'parabenizaram' Putin pelo seu aniversário, realizando um ataque em grande escala à empresa estatal russa de televisão e radiodifusão”.
Acredita-se que o ataque seja obra de um grupo de hackers pró-ucraniano chamado Sudo rm-RF. Desde então, o governo russo afirmou que uma investigação sobre o ataque está em andamento e que “se alinha com a agenda anti-russa do Ocidente”.
O desenvolvimento surge no meio de ataques cibernéticos contínuos contra a Rússia e a Ucrânia, tendo como pano de fundo a guerra russo-ucraniana que começou em Fevereiro de 2022.
O Serviço Estatal de Comunicações Especiais e Proteção de Informações (SSSCIP) da Ucrânia, num relatório publicado no last do mês passado, disse ter observado um aumento no número de ataques cibernéticos direcionados aos setores de segurança, defesa e energia, com 1.739 incidentes registrados no primeiro semestre. de 2024 atingindo um aumento de 19% em relação aos 1.463 do semestre anterior.
Quarenta e oito desses ataques foram considerados críticos ou de alto nível de gravidade. Mais de 1.600 incidentes foram classificados como médios e 21 foram classificados como de gravidade baixa. O número de incidentes de gravidade crítica caiu de 31 no segundo semestre de 2023 para 3 no primeiro semestre de 2024.
Nos últimos dois anos, os adversários passaram da realização de ataques destrutivos para a garantia de pontos de apoio secretos para extrair informações confidenciais, disse a agência.
“Em 2024, observamos uma mudança no seu foco para qualquer coisa diretamente ligada ao teatro de guerra e ataques a prestadores de serviços – com o objetivo de manter um perfil discreto, sustentar uma presença em sistemas relacionados à guerra e à política”, Yevheniya Nakonechna, chefe de Centro Estadual de Proteção Cibernética do SSSCIP, disse.
“Os hackers já não estão apenas a explorar vulnerabilidades sempre que podem, mas agora têm como alvo áreas críticas para o sucesso e apoio das suas operações militares.”
Os ataques foram atribuídos principalmente a oito grupos de atividades diferentes, um dos quais inclui um ator de espionagem cibernética ligado à China, rastreado como UAC-0027, que foi observado implantando uma variedade de malware chamada DirtyMoe para conduzir ataques de cryptojacking e DDoS.
O SSSCIP também destacou campanhas de intrusão encenadas por um grupo de hackers patrocinado pelo Estado russo chamado UAC-0184, apontando seu histórico de iniciar comunicações com possíveis alvos usando aplicativos de mensagens como o Sign com o objetivo de distribuir malware.
Outro ator de ameaça que permaneceu focado na Ucrânia é Gamaredon, uma equipe de hackers russa também conhecida como Aqua Blizzard (anteriormente Actinium), Armageddon, Hive0051, Iron Tilden, Primitive Bear, Shuckworm, Trident Ursa, UAC-0010, UNC530, e Linguado de Inverno.
“A intensidade do conflito físico aumentou visivelmente desde 2022, mas é importante notar que o nível de atividade do Gamaredon permaneceu consistente – o grupo tem implantado metodicamente suas ferramentas maliciosas contra seus alvos desde muito antes do início da invasão”, disse a cibersegurança eslovaca. a empresa ESET disse em uma análise.
Notável entre as famílias de malware é um ladrão de informações chamado PteroBleed, que também depende de um arsenal de downloaders, droppers, armadores, backdoors e outros programas advert hoc para facilitar a entrega de carga útil, exfiltração de dados, acesso remoto e propagação por meio de unidades USB conectadas.
“Gamaredon também demonstrou desenvoltura ao empregar várias técnicas para evitar detecções baseadas em rede, aproveitando serviços de terceiros como Telegram, Cloudflare e ngrok”, disse o pesquisador de segurança Zoltán Rusnák. “Apesar da relativa simplicidade de suas ferramentas, a abordagem agressiva e a persistência do Gamaredon fazem dele uma ameaça significativa.”