Ex-Conti leden vallen nu Oekraïne aan
Hackers van de criminele cyberbende Conti gebruiken aangepaste versies van hun software en technieken om Oekraïne aan te vallen. Dat schrijft Google in een rapport. De verschuiving zou kunnen aantonen dat Conti zich aligneert met de Russische overheid.
De bende achter de ransomware Conti kent u als een van de meest actieve cybercriminelen van de laatste jaren. In ons land maakte ze onder meer slachtoffers bij ICT-dienstverlener ITxx. De groep heeft haar wortels in Rusland, en sprak zich eerder al uit aan de kant van de Russische overheid, specifiek bij diens invasie van Oekraïne.
Nu schrijft Google in een rapport dat (ex-)leden van de bende hun kennis en software inzetten om aanvallen op dat land uit te voeren. In een nieuw rapport schrijft Google’s Threat Analysis Group (TAG) over een groep die getrackt wordt als UAC-0098. Die heeft in Oekraïne enkele cyberaanvallen uitgevoerd op hotels, niet-gouvernementele organisaties en meer. Volgens TAG bestaat de groep onder meer uit voormalige Conti-leden, die hun technieken en expertise nu inzetten voor cyberoorlog. ‘De aanvaller heeft recent zijn focus verlegt naar het treffen van Oekraïense organisaties, de Oekraïense overheid en Europese humanitaire en non-profit organisaties’, schrijft Pierre-Marc Bureau van TAG in het rapport. Bureau linkt leden van de groep aan verschillende ransomwarebendes, waaronder Conti en Quantum.
Nog volgens het rapport betekent dit dat de lijn tussen financieel gemotiveerde bendes en groepen die door de overheid worden aangestuurd steeds vager wordt in Oost-Europa. In dit geval lijken de criminelen hun doelwitten bewust te kiezen om in lijn te liggen met de geopolitieke interesses van hun overheid, zij het uit ideologie of om ervoor te zorgen dat ze niet snel voor het gerecht zullen worden gebracht.
IBM’s eigen onderzoekers van Security X-Force schreven enkele weken terug ook al dat de Trickbot-groep, een ransomwaregroep met links aan Conti, systematisch Oekraïense doelwitten aanvalt sinds de invasie van Rusland in het land. Dat is nieuw, gezien Trickbot voordien geen doelwitten had in Oekraïne. Sinds het begin van de invasie, ondertussen een half jaar geleden, wordt Oekraïne overspoeld door gerichte cyberaanvallen.
Fout opgemerkt of meer nieuws? Meld het hier