Onderzoek: Russische invasie van Oekraïne leidt tot verschuivingen in dreigingslandschap

De oorlog tussen Rusland en Oekraïne lijkt ook zijn weerslag te hebben op de Russisch-talige cybercrimegemeenschap in Rusland en de voormalig Sovjet-Unie. Binnen de gemeenschap lijkt grote onenigheid te zijn ontstaan.

Dit meldt Alexander Leslie, associate threat intelligence analyst bij Recorded Future's Insikt Group, aan The Register. De onderzoeker stelt dat door de oorlog een nieuw 'tijdperk van volatiliteit en onvoorspelbaarheid voor wereldwijde cybercrime is aangebroken die meerdere implicaties kent voor verdedigers'. In een rapport omschrijft Insikt Group 'Russische cybercrime' als cybercriminaliteit door Russisch-talige cybercriminelen. In het verleden hadden dergelijke groeperingen een belangrijke overeenkomst: zij richtten zich op doelen buiten Russisch-talige landen om geen aandacht te trekken van opsporingsinstanties.

Omslag zichtbaar

Sinds de invasie van Oekraïne door Rusland is echter een omslag zichtbaar. Zo behoort de ongeschreven regel op veel Russisch-talige cybercrimefora op het dark web om geen organisaties in voormalig Sovjet-staten aan te vallen tot het verleden. "We kunnen stellen dat de eerste grote verstoring in relatie tot Rusland's oorlog tegen Oekraïne het doorbreken van dit taboe is, wat een nieuw precedent schepte voor het aanvallen van Oekraïne en andere 'vijandige staten' (zoals Georgië, Estland, Letland en anderen) van de CIS op Russisch-talige dark web fora, evenals het openlijk aanvallen van Rusland en Belarus op mid-tear BreachForums", schrijven de auteurs van Recorded Future in het rapport.

Een concreet voorbeeld is de Conti ransomwaregroepering. Deze kondigde kort na de invasie zijn 'volledige steun aan voor de Russische overheid'. Ook zei de groepering toe alle middelen te zullen inzetten om kritieke infrastructuur van de vijand aan te vallen. Later veroordeelde de groep de oorlog alsnog.

De schade leek toen echter al gedaan. Zo lekte een Oekraïense beveiligingsonderzoeker enkele dagen later interne bestanden van de groepering, die later tot een tweede datalek over Trickbot leiden. Trickbot is een malwareplatform dat Conti beheerde. Hierbij kwam onder meer informatie op straat te liggen die de identiteit van mensen achter Trickbot liet uitlekken. Enkele weken later staakte Conti naar verluid zijn activiteiten.

"We denken niet dat het uiteenvallen van Conti een direct resultaat is van de lekken, maar dat de lekken het oplossen van een toch al gefractureerde dreigingsgroep heeft gekatalyseerd", aldus de onderzoekers.

Het onderzoeksrapport is hier beschikbaar.