Um grupo que as autoridades apelidam de UAC-0098 tem vindo a atacar hotéis, organizações não-governamentais e outros alvos na Ucrânia e sabe-se que alguns dos elementos do grupo fizeram ou fazem parte do mais conhecido grupo Conti. Analistas da Google e da IBM alertam que o volume de ataques tem vindo a aumentar e que estão a ser usadas ferramentas e métodos cada vez mais sofisticados.
A equipa de Threat Analysis da Google (TAG) descreve que “o UAC-0098 serviu de intermediário inicial entre vários grupos de ransomware incluindo o Quantum e o Conti, um gangue de cibercrime conhecido por FIN12 / WIZARD SPIDER (…) as atividades do UAC-0098 são exemplos representativos do desvanecer das linhas entre grupos com motivações financeiras e grupos apoiados por Governos na Europa de Leste, ilustrando a tendência de estes atores mudarem os seus alvos e alinhando-se com os interesses geopolíticos regionais”, cita o ArsTechnica.
Já a IBM Security X-Force chegou a conclusões semelhantes, descobrindo que o grupo russo Trickbot (que acabou por ser absorvido pelo grupo Conti há alguns meses) tem vindo a “atacar sistematicamente a Ucrânia desde a invasão russa – uma mudança sem precedentes, já que o grupo não tinha apontado ainda à Ucrânia”, relatou a equipa em junho.
O que é digno de realce aqui é também que “as campanhas do Conti contra a Ucrânia se destacam por não ter precedente histórico e que aparentam ser altamente dirigidas a alvos ucranianos, com algumas cargas a sugerir um elevado nível de seleção”. Os ataques vão desde campanhas de phishing por email e envio massivo de spam que se ‘disfarça’ de serviços estatais ucranianos e que contêm ficheiros maliciosos que exploram vulnerabilidades nos sistemas.
