El grupo de hacktivistas KillNet, que se describe a sí mismo como patriotas pro Kremlim, se creó el pasado mes de febrero, poco después de la invasión de Rusia a Ucrania, y en los últimos meses ha dirigido sus ataques a organismos oficiales e infraestructuras que apoyan la causa ucraniana. De hecho, el pasado mes de mayo KillNet declaró la ciberguerra a Estados Unidos y otros nueve países europeos, incluida obviamente la propia Ucrania, y poco después sumó a su lista de objetivos a España e Italia. Ahora, se ha conocido que al menos doce empresas españolas, ubicadas en Cataluña y la Comunidad Valenciana, han sufrido sus ciberataques.
Así se desprende del "Cyber Threat Intelligence Report", elaborado por la compañía de ciberseguridad BeDisruptive y que señala que todas estas ofensivas tuvieron lugar el pasado mes de septiembre. Además, el informe apunta que KillNet no fue el responsable directo de esta docena de ciberataques sino que fue una división suya, la banda de ransomware Sparta.
Este subgrupo, fundado a principios de junio por Legion Cyber Spetsnaz, el "departamento" de ciberinteligencia de KillNet, ya había cometido actos de ciberdelincuencia pero hasta el momento no había actuado en España. Según BeDisruptive, no persigue motivaciones políticas, como ha ocurrido en Noruega y el este de Europa, sino que trata de conseguir información y financiarse.
"Los últimos ataques pretendían impactar en una compañía informática de servicios y soluciones en el ámbito del cloud y del soporte. Es probable que algunas de las organizaciones atacadas sean víctimas colaterales, por ser clientes de la empresa inicialmente afectada", indica la firma de ciberseguridad.
Cómo puede afectar la guerra a la actividad de estos hacktivistas rusos
El "Cyber Threat Intelligence Report" también prevé que KillNet va a seguir operando al menos hasta el final del conflicto ucraniano. No obstante, considera que es altamente probable que continúe su actividad una vez terminada la guerra. Además, de cara al futuro plantea tres escenarios distintos para Sparta:
- El primero, el menos probable, conllevaría la desaparición de Sparta: aunque no sería la primera vez que el grupo fuera reabsorbido o rebautizado, la infraestructura de KillNet es estable, lo que apunta a la continuidad de Sparta.
- El segundo, de probabilidad media, señala que Sparta no volvería a atacar en España. En mayo, KillNet anunció que los ataques contra España e Italia serían parte de un entrenamiento para atacar posteriormente a zonas de mayor interés estratégico.
- El tercero, también de probabilidad media, consistiría en la continuidad de la actividad de Sparta en España. La información recopilada tras los ataques podría alimentar nuevas acciones contra otras víctimas de interés. Cabe la posibilidad de que estos ataques de ransomware sean el inicio de una campaña más prolongada, como la ocurrida en otros países.
"KillNet y sus subdivisiones tienen recursos suficientes para realizar con éxito ataques de denegación de servicio de corta duración. El grupo ha demostrado una experiencia limitada en este ámbito. No obstante, no descartamos que vayan sumando activos y expertos más profesionalizados como resultado de campañas de reclutamiento", advierte Agnese Carlini, CTI Leader de BeDisruptive. "Vemos, por tanto, cómo ciertos grupos se están amparando en el conflicto ruso-ucraniano para ganar legitimidad y visibilidad".