Floris Hulshoff Pol - 09 september 2022

Ex-leden Conti richten pijlen op Oekraïne

Ex-leden Conti richten pijlen op Oekraïne image

Hackers van de criminele cyberbende Conti gebruiken aangepaste versies van hun software en technieken om Oekraïne aan te vallen. Dat schrijft Google in een rapport. De verschuiving zou kunnen aantonen dat Conti zich aligneert met de Russische overheid.

De bende achter de ransomware Conti staat bekend als een van de meest actieve cybercriminelen van de laatste jaren. De groep heeft haar wortels in Rusland, en sprak zich eerder al uit aan de kant van de Russische overheid, specifiek bij diens invasie van Oekraïne.

Aanvallen op Oekraïne

Nu schrijft Google in een rapport dat (ex-)leden van de bende hun kennis en software inzetten om aanvallen op dat land uit te voeren. In een nieuw rapport schrijft Google's Threat Analysis Group (TAG) over een groep die getrackt wordt als UAC-0098. Die heeft in Oekraïne enkele cyberaanvallen uitgevoerd op hotels, niet-gouvernementele organisaties en meer. Volgens TAG bestaat de groep onder meer uit voormalige Conti-leden, die hun technieken en expertise nu inzetten voor cyberoorlog.

"De aanvaller heeft recent zijn focus verlegt naar het treffen van Oekraïense organisaties, de Oekraïense overheid en Europese humanitaire en non-profit organisaties", schrijft Pierre-Marc Bureau van TAG in het rapport. Bureau linkt leden van de groep aan verschillende ransomwarebendes, waaronder Conti en Quantum.

In lijn met geopolitieke interesses van overheden

Nog volgens het rapport betekent dit dat de lijn tussen financieel gemotiveerde bendes en groepen die door de overheid worden aangestuurd steeds vager wordt in Oost-Europa. In dit geval lijken de criminelen hun doelwitten bewust te kiezen om in lijn te liggen met de geopolitieke interesses van hun overheid, zij het uit ideologie of om ervoor te zorgen dat ze niet snel voor het gerecht zullen worden gebracht.

IBM's eigen onderzoekers van Security X-Force schreven enkele weken terug ook al dat de Trickbot-groep, een ransomwaregroep met links aan Conti, systematisch Oekraïense doelwitten aanvalt sinds de invasie van Rusland in het land. Dat is nieuw, gezien Trickbot voordien geen doelwitten had in Oekraïne. Sinds het begin van de invasie, ondertussen een half jaar geleden, wordt Oekraïne overspoeld door gerichte cyberaanvallen.

In samenwerking met Data News

Sophos 14/11/2024 t/m 28/11/2024 BN + BW Lenovo Channel Campagne vierkant
Axians 12/11/2024 t/m 26/11/2024 BN+BW

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!