La guerra russo-ucarina cambia il volto del cybercrime. A scattare la fotografia il Cyber Threats Snapshot Report di Leonardo che evidenzia i principali attori malevoli (threat actor), attività di cybercrime e vulnerabilità riscontrati tra gennaio e marzo 2022. L’analisi, condotta dagli esperti di Cyber Threat Intelligence a supporto del Global Security Operation Centre (Soc) di Leonardo, evidenzia appunto alcuni filoni dominanti che hanno caratterizzato il periodo.
Tutti sono, in un modo o nell’altro, legati al conflitto Russia-Ucraina, confermandone il carattere di “guerra ibrida” caratterizzata da:
- attacchi ai danni di organizzazioni ucraine
- diffuse campagne di disinformazione e propaganda
- attività distruttive finalizzate al sabotaggio
Prima dell’invasione del territorio ucraino da parte dell’esercito russo si sono registrati attacchi DDoS (Distributed Denial of Service, ovvero attacchi che consistono nel tempestare di richieste un sito, fino a metterlo ko e renderlo irraggiungibile) e di defacement (con l’introduzione illecita di contenuti in un sito web) che hanno avuto come target infrastrutture critiche, istituzioni governative e finanziare ucraine. In particolare il DDoS è stato il tipo di attacco più diffuso.
In concomitanza e a supporto di questi attacchi, sono state lanciate campagne di disinformazione volte a destabilizzare ulteriormente la situazione interna dell’Ucraina, soprattutto nelle province confinanti con la Russia. Tali campagne sono state condotte non solo tramite i social network (dove molti account sono stati sospesi dai gestori), ma anche tramite sms fraudolenti che fornivano informazioni false circa l’indisponibilità di alcuni servizi essenziali – tra cui quelli erogati da una delle più grandi banche commerciali ucraine – che erano invece regolarmente operativi.
A partire dal 23 febbraio 2022, invece, sono state rilevate attività distruttive finalizzate a operazioni di sabotaggio a opera di threat actor riconducibili a entrambi gli schieramenti. Questi attacchi sono stati perpetrati attraverso la diffusione di wiper, una tipologia di malware che causa l’eliminazione dei dati e dei programmi presenti sul disco dei dispositivi infettati, rendendoli di fatto inutilizzabili. Tra i più usati WhisperGate, sviluppato per assomigliare a un ransomware ma privo di meccanismi di ripristino dei sistemi, e RURansom, che si diffonde come un worm all’interno dei dischi rimovibili e su tutte le condivisioni di rete mappate e, prima di crittografare i sistemi in modo irreversibile, localizza i dispositivi infettando solo quelli che si trovano in Russia.
Ma le ripercussioni del conflitto si sentono anche fuori dai paesi direttamente coinvolti: a livello globale, il settore governativo e della difesa è risultato tra i più colpiti dai threat actor che si sono fin da subito schierati a supporto della Russia o dell’Ucraina. Questo fenomeno non ha coinvolto solo gli attori di tipo governativo, ma anche la maggioranza dei collettivi che operano nell’ambito del Cyber Crime. Anche il settore dell’industria della difesa e dell’aerospazio è stato tra i principali target degli attaccanti, interessati a esfiltrare informazioni strategiche e sensibili quali proprietà intellettuali, relative a processi di produzione e progetti, ma anche dati personali dei dipendenti.