Microsoft ostrzegł Europę, aby była czujna na cyberataki z Rosji tej zimy, ponieważ seria potężnych ataków uderzyła w rosyjskie organizacje — w tym drugi co do wielkości bank w Rosji.
Kontrolowana przez rząd petersburska instytucja finansowa VTB ogłosiła we wtorek, że stanęła w obliczu “bezprecedensowego cyberataku z zagranicy” i dodała, że zalew DDoS był największy w historii banku.
“Analiza ataku DDoS wskazuje, że jest on zaplanowany i na dużą skalę” – powiedział bank w oświadczeniu przekazanym rosyjskim mediom. “Jego celem jest spowodowanie niedogodności dla klientów banku poprzez utrudnienie działania usług bankowych”. Podczas gdy “większość” ruchu zalewającego sieć pochodziła z “zagranicznych części internetu”, część pochodziła z rosyjskich adresów IP, co, jak zauważył bank, było “szczególnie niepokojące”. “Nie wykluczamy, że niektóre z tych rosyjskich adresów mogą być wśród uczestników ataku w wyniku cyber oszustwa” – powiedział VTB. “Wszystkie zidentyfikowane rosyjskie adresy IP zostaną przekazane organom ścigania w celu weryfikacji, ponieważ organizowanie i udział w ataku DDoS jest przestępstwem”.
Atak DDoS na infrastrukturę techniczną banku nastąpił po doniesieniach o rozmieszczeniu w ubiegłym tygodniu oprogramowania do wymazywania (wiperów)danych na komputerach rosyjskich burmistrzów i sądów. Według doniesień lokalnych mediów, oprogramowanie to udaje ransomware, żąda pół miliona rubli i niezależnie od tego, czy organizacje zapłacą, czy nie, usuwa pliki.
Najnowsza runda ataków typu wiper i DDoS pojawia się w momencie, gdy Microsoft ostrzega, że Rosja prawdopodobnie rozszerzy swoje działania w ramach wojny hybrydowej poza Ukrainę, i sugeruje Europie, aby spojrzała na Polskę jako “zwiastun” tego, co ma nadejść. W październiku wspierany przez GRU Sandworm (Microsoft nazywa ten cybergang “Iridium”) wdrożył ransomware Prestige przeciwko sieciom logistycznym i transportowym w Polsce i na Ukrainie, oznaczając pierwszy związany z wojną cyberatak poza Ukrainą od czasu operacji przeciwko Viasatowi, która wyłączyła satelity klientów i wyłączyła zdalny monitoring 5800 turbin wiatrowych w Niemczech.
“Październikowe wydarzenie Prestige może reprezentować wymierną zmianę w rosyjskiej strategii cyberataków, odzwierciedlając gotowość Moskwy do użycia swojej broni cybernetycznej przeciwko organizacjom poza Ukrainą w celu wsparcia trwającej wojny” – zauważył Clint Watts, GM Centrum Analiz Zagrożeń Cyfrowych Microsoftu, dodając, że Kreml może wykorzystać tego typu ataki sponsorowane przez państwo do zakłócenia zagranicznych łańcuchów dostaw.
Kraje europejskie i Stany Zjednoczone powinny również przygotować się na więcej wspieranych przez Kreml operacji wpływu — żerowanie na obawach obywateli o rosnące ceny energii i inflację oraz forsowanie prorosyjskich narracji, napisał Watts.
“Rosja koncentruje i prawdopodobnie będzie nadal koncentrować te kampanie na Niemczech, kraju krytycznym dla utrzymania jedności Europy i domu dla dużej liczby rosyjskich obywateli, starając się wpłynąć na kierunek rozwoju wydarzeń by był korzystny dla Kremla” – argumentował. Podczas gdy Francja jest mniej podatna na kampanie dezinformacyjne związane z energią niż Niemcy czy Włochy, według Microsoftu, istnieje ryzyko, że Rosja będzie próbowała wykorzystać kampanie w mediach społecznościowych, aby wtrącić się w sprawy francuskie, bazując na swoich wcześniejszych działaniach.
