Cyberbezpieczeństwo

Grupa hakerska UAC-0098 atakuje Ukrainę. Ataki motywowane są finansowo

Fot. Max Bender on Unsplash

Grupa hakerska UAC-0098 posługująca się zmodyfikowanymi zasobami gangu znanego jako Conti atakuje Ukrainę. Motywacją dla cyberataków są kwestie finansowe – twierdzi jeden z badaczy cyberbezpieczeństwa związany z koncernem Google.

Grupa jest obserwowana przez analityków od kwietnia tego roku i określana nazwą kodową UAC-0098. Jej celami są przede wszystkim hotele, organizacje pozarządowe i inne instytucje w Ukrainie, o czym wcześniej informował m.in. ukraiński CERT.

Niektórzy członkowie grupy UAC-0098 byli wcześniej związani z gangiem cyberprzestępczym Conti. W ramach nowej formacji wykorzystują zaawansowane, wymyślne metody do ataków na Ukrainę po to, by ta gorzej radziła sobie z inwazją Władimira Putina, która rozpoczęła się 24 lutego, a dodatkowo – zmieniają swoją taktykę działania.

Czytaj też

Jak cybergang pomaga Putinowi?

Związany z grupą TAG (Threat Analysis) w Google'u Pierre-Marc Bureau ocenia, że atakujący działający w ramach tego gangu w ostatnim czasie przenieśli swoją uwagę na ataki wymierzone w ukraińskie organizacje rządowe i związane z sektorem pomocy humanitarnej. Zainteresowali się również ofiarami z tych samych segmentów w państwach europejskich.

„TAG ocenia, że UAC-0098 początkowo działała jako dysponent dostępu dla różnych grup posługujących się ransomware, takich jak Quantum, Conti i rosyjski gang cyberprzestępczy znany jako FIN12 / WIZARD SPIDER" – stwierdził Bureau w notce na swoim blogu.

Jak działa grupa?

Według niego aktywności grupy UAC-0098 to typowy przykład rozmywania linii pomiędzy działalnością grup motywowanych finansowo i sponsorowanych przez rządy, które są aktywne w Europie Wschodniej.

Czytaj też

Działalność tego gangu ilustruje ponadto trend coraz popularniejszy wśród grup cyberprzestępczych – zmiany celów po to, by dopasować się do interesu geopolitycznego dominującego w danym regionie.

Rewelacje Google'a potwierdzają inni

Jak pisze serwis Ars Technica , w czerwcu spostrzeżenia Bureau potwierdziły obserwacje innych badaczy cyberbezpieczeństwa.

Zespół IBM Security X-Force wydał raport, w którym stwierdził, że rosyjskie grupy cyberprzestępcze – takie jak Trickbot – systematycznie atakują Ukrainę, choć wcześniej się nią nie interesowały. Swoją uwagę na naszego wschodniego sąsiada przeniosły dopiero po 24 lutego, czyli po dniu inwazji Władimira Putina na Ukrainę.

Gang Conti największym sprawcą

Zespoły Google TAG oraz wspomniany wcześniej IBM Security X-Force wskazują serię incydentów, w ramach których to właśnie gang Conti okazywał się największym sprawcą problemów w Ukrainie.

Czytaj też

To m.in. kampania phishingowa realizowana w kwietniu, w której wykorzystywano złośliwe oprogramowanie AnchorMail i tytuły korespondencji elektronicznej, nawiązujące do aktywności obywateli w ramach e-państwa. To także przykład kampanii phishingowej z maja, w której na celowniku cyberprzestępców znalazły się hotele i inne placówki świadczące usługi zakwaterowania – w jej ramach przestępcy podszywali się pod Narodową Policję Cyberbezpieczeństwa Ukrainy i próbowali infekować swoje ofiary malware znanym jako IcedID, a także kampania phishingowa wykorzystująca imię i nazwisko Elona Muska oraz nazwę jego satelitów – StarLink.

Ta ostatnia ukierunkowana była na cele powiązane w Ukrainie z sektorem nowych technologii, ale także na sklepy, organizacje rządowe i inne instytucje, które były łakomym kąskiem dla instalacji złośliwego oprogramowania.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]

Komentarze

    Czytaj także