ĐỘT PHÁ Phân tích mối đe dọa mới: Nhóm Hack-for-Hire Killnet

Sau đây là Phân tích mối đe dọa, nghiên cứu chi tiết được thực hiện bởi Quadrant Security về nhóm hack-for-hire Killnet.

Killnet là ai?

Killnet là một nhóm hack-for-hire có mối quan hệ chặt chẽ nhưng gián tiếp với các mục tiêu chiến lược của chính phủ Nga, chủ yếu sử dụng Dịch vụ Từ chối Dịch vụ Phân tán ( DDoS ) làm phương thức tấn công ưa thích. Mặc dù tác động của nhóm cho đến nay vẫn còn hạn chế, nhưng có những dấu hiệu rõ ràng cho thấy Killnet sẽ tiếp tục phát triển và gia tăng các cuộc tấn công của chúng thông qua mạng độc hại.

Bối cảnh hoạt động Killnet

Một số nguồn nói rằng KillNet đã nhận trách nhiệm về các vi phạm dữ liệu, từ “Nguồn chăm sóc sức khỏe của chính phủ” đến Lockheed Martin. Bản thân đây KHÔNG phải là kết quả mong đợi của một cuộc tấn công Từ chối Dịch vụ. Tại thời điểm viết bài, không có bằng chứng trực tiếp nào chỉ ra cách Killnet có thể lấy được thông tin này, mặc dù một nguồn tin cho biết các cuộc tấn công từ điển vũ phu chống lại các dịch vụ công khai đã được quan sát thấy. Nguồn này, tuy nhiên, đã không cung cấp một tài liệu tham khảo.

Các nhà phân tích khác cho rằng việc tiếp tục sử dụng DDoS có thể làm mất tập trung và định hướng sai các biện pháp và nhóm phòng thủ để tạo điều kiện cho các cuộc tấn công bất lợi hơn xảy ra, chẳng hạn như lây nhiễm Ransomware / Wiper Malware.

Do lập trường thân Nga mạnh mẽ của họ, một số người tin rằng các nhóm thân Nga khác có thể hỗ trợ họ và nhắm mục tiêu / hỗ trợ tấn công các mục tiêu Killnet. Một nhóm cụ thể được liệt kê là nhóm Conti Ransomware. Cả Killnet và Conti đều tuyên bố ủng hộ Nga sau cuộc xâm lược Ukraine. Hơn nữa, Killnet đã công khai tuyên bố mong muốn hợp nhất các lực lượng và tập hợp các nhóm hack thân Nga khác lại với nhau. Mặc dù họ duy trì một số kênh Telegram, Killnet cũng đã thành lập một diễn đàn của riêng họ để tập hợp các tác nhân đe dọa.

Diving Into Infinity Diễn đàn

Xem xét kỹ hơn diễn đàn sẽ thấy nhiều phần khác nhau, từ gây quỹ cho Killnet / Infinity Forum đến một cửa hàng đang hoạt động cung cấp nhiều hoạt động bất chính khác nhau, bao gồm các chiến dịch lừa đảo, thông tin thẻ tín dụng bị đánh cắp, cách sử dụng dữ liệu bị đánh cắp, v.v.

Một phần đáng báo động khác của diễn đàn đóng vai trò là phần “truy nã”. Một bài đăng được quan sát đang chào mời một nhà phát triển Phần mềm độc hại Wiper, nói rằng họ đã xâm phạm một bệnh viện và có các đặc quyền leo thang. Mặc dù tên của bệnh viện không được tiết lộ nhưng ảnh chụp màn hình cho thấy mục tiêu bị xâm nhập là người Ukraine. Các nhận xét khác về các chủ đề tương tự cho thấy sự thỏa hiệp của một bệnh viện nói tiếng Anh, nói rằng VNC đã được tận dụng để xem và chỉnh sửa các bản quét MRI.

Các phần tin tức của diễn đàn này chứa đầy những tuyên truyền thân Nga về “SVO” (Spetsialnaya Voennaya Operatsiya == SMO (Tiếng Anh), Chiến dịch quân sự đặc biệt) ở Ukraine. Các diễn đàn như thế này sẽ được tìm thấy trên các kết nối TOR chứ không phải trên internet “mở”. Một số diễn đàn chỉ ra rằng việc chuyển sang TOR có thể được mong đợi vào cuối tháng.

Nghiên cứu tóm tắt

Mặc dù mối đe dọa của DDoS là đáng lo ngại, nhưng khả năng các mối quan hệ đối tác tội phạm của Killnet để “chia sẻ mục tiêu” còn đáng báo động hơn nhiều. Điều này được kết hợp bởi các chủ đề đang hoạt động trên Diễn đàn Vô cực cho biết các vi phạm đang hoạt động gần đây. Có những dấu hiệu rõ ràng rằng KillNet sẽ tiếp tục phát triển và gia tăng các cuộc tấn công của chúng thông qua mạng độc hại này.

Chúng tôi xác định rằng mối quan tâm lớn nhất của nhóm KillNet ATP là sự phát triển ngụ ý của TTP thành phần mềm độc hại dựa trên mã hóa (Ransomware/Wiper Malware) và khả năng xảy ra các cuộc tấn công tống tiền/hai lần tống tiền hoặc mục tiêu mất hoàn toàn dữ liệu là mục tiêu cuối cùng .

Để xem/tải xuống toàn bộ chi tiết phân tích mối đe dọa, bao gồm Khuyến nghị của nhà phân tích, hãy truy cập: https://quadrantsec.com/blog/threat-analysis-killnet