Wojna na Ukrainie była głównym katalizatorem rozproszonych ataków typu „odmowa usługi” (DDoS). Analitycy firmy Kaspersky ds. cyberbezpieczeństwa stwierdzili, że między czwartym kwartałem 2021 r. a pierwszym kwartałem 2022 r. liczba ataków DDoS wzrosła 4,5-krotnie, podczas gdy liczba „inteligentnych” (lub zaawansowanych i ukierunkowanych) ataków wzrosła o 81% między kwartałami.
Aby spojrzeć na to z innej perspektywy, w czwartym kwartale 2021 r. odnotowano najwyższą liczbę ataków DDoS wykrytych przez firmę zajmującą się cyberbezpieczeństwem.
Większość wzrostu przypisuje się „haktywistom”, którzy chcą odegrać swoją rolę w konflikcie rosyjsko-ukraińskim.
Długie ataki DDoS
W wielu przypadkach napastnicy obrali za cel rosyjskie terminale, niezależnie od tego, czy są własnością rządu, czy sektora finansowego. Naukowcy stwierdzili, że ataki te mają „efekt fali”, ponieważ wpływają na całą populację.
O atakach mówiono również, że są na dużą skalę i innowacyjne. Jednym z przykładów była kopia popularnej gry logicznej 2048 używanej na rosyjskich stronach internetowych DDoS.
Przeciętna sesja trwała 80 razy dłużej niż wyświetlenia kwartał wcześniej. Najdłuższy atak, według Kaspersky, został wykryty 29 marca i trwał 177 godzin.
Przeciętny atak DDoS trwa zwykle około czterech godzin.
„Na trend wzrostowy duży wpływ miała sytuacja geopolityczna. Co jest dość niezwykłe, to długi czas trwania ataków DDoS, które są zwykle wykonywane w celu uzyskania natychmiastowej korzyści” – powiedział ekspert ds. bezpieczeństwa Kaspersky Aleksander Gutnikow.
„Niektóre z obserwowanych przez nas ataków trwały kilka dni, a nawet tygodni, co sugeruje, że mogły być przeprowadzane przez motywowanych ideologicznie cyberaktywistów. Odkryliśmy również, że wiele organizacji nie było przygotowanych do walki. Wszystkie te czynniki sprawiły, że jesteśmy bardziej świadomi zakres i niebezpieczeństwo ataków DDoS oraz przypominają, że organizacje muszą być przygotowane na tego typu ataki.
Konflikt rosyjsko-ukraiński przeniósł się do cyberprzestrzeni od pierwszego dnia inwazji. Ukraiński haker ujawnił między innymi wewnętrzne czaty i różne kody źródłowe firmy Conti, jednego z najpopularniejszych obecnie operatorów oprogramowania ransomware, który rzekomo ma siedzibę w Sankt Petersburgu w Rosji.
Na początku inwazji Conti ostrzegł społeczność cyberprzestępców, że każdy, kto zaatakuje rosyjską infrastrukturę, również będzie musiał poradzić sobie z grupą. Nie podobało się to wielu jego rówieśnikom (zwłaszcza tym z Ukrainy, których wydawało się, że byli w dużej liczbie), co spowodowało, że grupa wycofała swoje oświadczenie.
Po wycieku pojawiło się kilka naśladowców, które wykorzystywały własny kod źródłowy Conti do tworzenia oprogramowania ransomware wykorzystywanego przeciwko rosyjskim organizacjom i podmiotom.