Hacktivistencollectief Anonymous is op weg naar een cyberoorlog met een Russische ransomware-crew die vermoedelijk ten minste 65,500 BTC ($ 2.8 miljard) heeft opgelicht.
Anoniem sloot zich afgelopen donderdag aan bij de wereldwijde meerderheid om de kant van Oekraïne te kiezen. De groep heeft sindsdien de verantwoordelijkheid opgeëist voor cyberaanvallen op media die worden gecontroleerd door het Kremlin.
Een van de doelwitten was Russia Today (RT), een nieuwszender die spreads Russische propaganda. Anonymous onderbrak de website van RT met gedistribueerde denial-of-service-aanvallen (DDoS). Ze troffen ook de nieuwssite Russ.ru, eigendom van de overheid.
DDoS-aanvallen doelen overspoelen met verkeer om ze onbereikbaar te maken. De site van RT is sindsdien weer online gekomen, maar sommige functionaliteit was nog steeds aangetast op het moment van schrijven.
De groep sloeg ook officiële overheidswebsites, waaronder het Kremlin, de Doema en de portalen van het Ministerie van Defensie.
De prestaties op alle sites waren zo'n vijf dagen later nog steeds vertraagd. In een artikel, RT erkend dat Anonymous de cyberoorlog tegen Rusland had uitgeroepen.
Reuters merkte op dat gerichte sites berichten hadden weergegeven waarin Russische inwoners werden verteld dat: lokale nieuwszenders logen tegen hen.
“Anonymous is momenteel betrokken bij operaties tegen de Russische Federatie”, zei het promotionele Twitter-account van de groep.
“Onze operaties zijn gericht op de Russische regering. Het is onvermijdelijk dat ook de particuliere sector wordt getroffen.”
Russische 'Wizard Spider' verklaart bijna de oorlog aan Anonymous
Anoniem heeft een sterk gedecentraliseerde hiërarchie zonder bekende leider. Het @youranonnews Twitter-account erkende dat het niet namens elk lid van het Anonymous-collectief kan spreken.
Toch zei het account dat de zogenaamde hacktivisten van Anoniem steun over het algemeen wereldvrede, zij het via digitale anarchie.
Anoniem waarschuwde van een mogelijke Russische cybervergelding voor zijn DDoS-campagne. Eerdere ransomware-hacks waren terug te voeren op door Rusland gesponsorde actoren die de Amerikaanse infrastructuur hebben verlamd.
Het meest prominent, grote Amerikaanse leverancier van gasinfrastructuur Colonial Pipeline werd vorig jaar onbruikbaar gemaakt door een collectief dat bekend staat als DarkSide. Het had een ransomware-stam ingezet bekend als Ryuk.
Colonial Pipeline had $ 5 miljoen aan Bitcoin betaald om de controle over zijn kritieke systemen terug te krijgen, maar de FBI slaagde erin om privésleutels in beslag te nemen gebonden aan meer dan de helft van die crypto.
Ryuk was alomtegenwoordig in ransomware-aanvallen tussen 2018 en 2021, en heeft grote schade aangericht aan lokale overheden, ziekenhuizen en psychiatrische zorginstellingen in de VS, Europa en de bredere wereldwijde bedrijfsgemeenschap.
Eind 2020, Security Magazine gerapporteerd dat Ryuk de malware was achter een derde van alle ransomware-detecties in dat jaar.
En ja hoor, het "Conti Team", dat een ransomware-stam hanteert (Conti) beschouwd als de opvolger van Ryuk, verklaarde dat het namens Moskou een cyberoorlog zou beginnen.
Cybersecurity-onderzoekers merkten op Twitter op dat recente lekken het primaire Bitcoin-adres van Conti openbaar traceerbaar maakten.
- Over een periode van drie jaar tot nu verzamelde Conti's belangrijkste ransomware-portemonnee bijna 65,500 BTC.
- Tegen de huidige prijzen, dat vertegenwoordigt een oorlogskas ter waarde van $ 2.8 miljard.
- Conti zou echter veel minder hebben gegenereerd als hij was witgewassen voor fiat bij ontvangst (er zit nog maar $ 3 miljoen in de portemonnee).
"Het Conti-team kondigt officieel een volledige steun aan de Russische regering aan", zei de bemanning op haar website (via CSO online).
"Als iemand besluit een cyberaanval of oorlogsactiviteiten tegen Rusland te organiseren, zullen we al onze middelen gebruiken om terug te slaan op de kritieke infrastructuur van een vijand."
Er wordt aangenomen dat zowel Ryuk- als Conti-soorten zijn gemaakt door een hackereenheid die bekend staat als Wizard Spider, die naar verluidt meer dan 80 leden telt in St. Petersburg en zelfs Oekraïne.
Analisten geloven dat het Kremlin tolereert en zelfs helpt Tovenaar Spin. De groep verhuurt effectief zijn "Ransomware-as-a-Service" -software aan andere slechte actoren zoals DarkSide.
Wizard Spider maakt naar verluidt ook zijn eigen handen vuil, met de meest recente geslagen twee thermische kolencentrales in Australië en sloten de stroom af voor drie miljoen huishoudens.
Het Conti-team was specifiek uitgelicht om te hebben werkte met de Russische inlichtingendienst, zoals gedetailleerd beschreven door recente pro-Oekraïense lekken.
Bitcoin die tijdens ransomware-aanvallen is verkregen, wordt regelmatig weggespoeld via entiteiten in de stad Moskou.
Analyse-eenheid Chainalysis onlangs betrokken dergelijke bedrijven in het ontvangen van meer dan $ 700 miljoen aan illegale crypto over een periode van drie jaar.
Lees verder: [Navalny haalt een gestage stroom van Bitcoin-donaties binnen tijdens een verblijf in het gevangeniskamp]
Maar terwijl het Conti-team zich opstelt tegen Anonymous, heeft Rusland de internetconnectiviteit in Oekraïne verstoord als onderdeel van zijn invasie.
SpaceX-topman Elon Musk gereageerd op de oproep van een Oekraïense functionaris om hulp door de satelliet-internetservice van Starlink activeren in het land, en belooft de Starlink-terminals zo snel mogelijk te verzenden.
Starlink zou Oekraïne toegang tot internet geven, zelfs als Rusland de grondinfrastructuur helemaal vernietigt.
De Oekraïense vice-premier Mikhailo Fedorov zei ook dat Oekraïne gebouw een "IT-leger" om Russische cyberaanvallen het hoofd te bieden - wat bewijst dat internet een cruciaal strijdtoneel is tijdens dit specifieke conflict.
Volg ons op Twitter voor meer geïnformeerd nieuws.
Luister naar de eerste drie afleveringen van onze nieuwe onderzoekende podcastserie Geïnnoveerd: Blockchain City.
