SecurityScorecard, KillNet tarafından geçtiğimiz yıl dünya çapında çeşitli kuruluşlara karşı dağıtılmış hizmet reddi saldırıları (DDoS) başlatmak için kullanılan proxy IP adreslerinin bir listesini bir araya getirdi.
KillNet, ABD merkezli hastaneler ve havaalanları ile Almanya’daki finans ve devlet kuruluşlarına yönelik DDoS saldırılarının sorumluluğunu üstlendi. Rusya yanlısı grup, başta NATO ülkeleri olmak üzere Ukrayna’yı destekleyen ülkeleri hedef alıyor.
Bir DDoS saldırısında, saldırı grubu, hedeflenen varlığın sunucusuna veya web sitesine dakikada binlerce bağlantı isteği ve paketin gönderilmesine neden olur. Saldırı, saldırı grubu tarafından kullanılan, güvenliği ihlal edilmiş sistemler olan botlar tarafından gerçekleştirilir. Bu isteklerin ve paketlerin hacmi ve boyutu, hedeflenen sistemi yavaşlatabilir ve hatta onu artık kullanılamayacak bir noktaya kadar bunaltabilir.
Ocak ayında, KillNet’in saldırıları 14 hastanenin web sitelerini çevrimdışı duruma getirdi; etkilenen kuruluşlar arasında Michigan Üniversitesi Hastaneleri ve Sağlık Merkezleri, Stanford Hastanesi, Duke Üniversitesi ve Cedars-Sinai yer almaktadır. Web sitelerini günlerce çevrimdışı bırakmak veya ağ bağlantısını kesintiye uğratmak hasta bakımını engelleyebilir: Hastaların randevu planlaması engellenebilir ve doktorlar çevrimiçi sağlık bilgileri gönderip alamayabilir. Hem ABD Sağlık ve İnsani Hizmetler Departmanı (HHS) hem de Amerikan Hastane Birliği, KillNet’in sağlık kuruluşları için bir tehdit oluşturduğuna dair uyarılar yayınladı.
AHA, “KillNet’in DDoS saldırıları genellikle büyük hasara neden olmazken, birkaç saat hatta gün süren hizmet kesintilerine neden olabilir” dedi.
Bilgisayar korsanları tarafından önceki DDoS saldırılarında kullanılan on binlerce proxy IP adresini listeleyen SecurityScorecard’ın engelleme listesi, özellikle sağlık kuruluşlarındaki savunucular için yararlı olabilir. Güvenlik ekipleri, SecurityScorecard’ın araştırma ekibi tarafından düzenli olarak güncellenen listeyi kullanabilir ve kötü amaçlı trafiğin ağa girmesini bile engellemek için güvenlik duvarı kuralları uygulayabilir. Liste ayrıca, saldırgan etkinliklerini belirlemek ve izlemek için ağ izlemeyi ve incelemeleri de destekleyebilir.
Şu anda sadece DDoS saldırıları var, ancak KillNet’in siyasi görüşlerini paylaşan fidye yazılımı çeteleri gibi diğer suç gruplarının da bu kuruluşları hedef almak için birleşeceğinden endişe ediliyor.
HHS, “Feshedilmiş Conti grubundan olanlar gibi Rus yanlısı fidye yazılımı grupları veya operatörlerinin KillNet’in çağrısına kulak vermesi ve destek sağlaması muhtemeldir” diye uyardı HHS. “Bu muhtemelen, KillNet’in hedef aldığı varlıkların, birkaç fidye yazılımı grubunun kullandığı bir taktik olan bir gasp aracı olarak fidye yazılımı veya DDoS saldırılarıyla vurulmasına neden olacaktır.”
Cloudflare’nin analizi, sağlık kuruluşlarına karşı DDoS etkinliğinde bir artış olduğunu ve şimdiden KillNet adına hareket eden birden fazla tehdit aktörünün olabileceğini gösteriyor.
Cloudflare geçen hafta yaptığı açıklamada, “Cloudflare küresel ağı tarafından gözlemlenen saldırılar, bunların tek bir botnet’ten kaynaklandığına dair net bir gösterge göstermiyor ve saldırı yöntemleri ve kaynakları değişiyor gibi görünüyor.” “Bu, Killnet adına hareket eden birden fazla tehdit aktörünün olaya karıştığını gösterebilir veya daha karmaşık, koordineli bir saldırıyı gösterebilir.”