Хоча більшість кіберзлочинців з Росії уникає публічної участі у вторгненні в кіберпростір України, сформувалися групи, які зосередилися на створенні проблем для організацій та країн, які висловили солідарність та заявляють про підтримку України.
Однією з таких організацій є проросійська група KillNet, яка перетворила свій DDoS-сервіс на інструмент здійснення координованих через Telegram-канали хакерських атак проти організацій в європейських країнах в багатьох секторах економіки, включаючи фінансовий, державний, ЗМІ та телекомунікації.
З початку вторгнення Росії в Україну з лютого 2022 року кіберугруповання KillNet розрослося до кількох підрозділів, які проводили власні напади і хоча переважна більшість їх прихильників є користувачами початкового рівня з нульовим або обмеженим досвідом роботи з DDoS-атаками, суспільний інтерес учасників до програм-вимагачів вказує на те, що KillNet може розробити власний варіант або придбати його на підпільному ринку як засіб вийти за межі DdoS-атак.
З цією метою KillNet публікує повідомлення через різні канали, намагаючись залучити різноманітні програми-вимагачі для атаки на організації від їх імені. Група також просила криптовалюту, спрямовуючи користувачів Telegram-каналу на певні гаманці для пожертв. Killnet також запустив власний NFT на найбільшому у світі онлайн-ринку web3 для NFT і криптовалютних предметів колекціонування OpenSea.
З моменту створення KillNet у лютому 2022 року група долучила до своєї діяльності кілька інших груп. У березні 2022 року група, відома як XakNet, оголосила, що об’єдналася з KillNet для запуску DDoS-атак на критичну інфраструктуру та уряд. У травні інша група, відома як FuckNet, оголосила про свій намір співпрацювати з KillNet, щоб вести DDoS-кампанію проти організацій державного та приватного секторів, розташованих у країнах, які підтримували Україну. У квітні ц.р. група створила інше відділення під назвою LEGION, яке було створено спеціально для здійснення заходів KillNet щодо DdoS-атак.
Примітно, що учасники даної групи використовують стратегію націлювання, на яку, впливають поточні події майже в реальному часі, що свідчить про можливість скерування їх діяльності спеціальними службами Росії.
KillNet використовує загальнодоступні DDoS-скрипти (CC-attack, MDDoS, Low Orbit Ion Cannon (LOIC), KARMA, Dummy) та інструменти IP Stresser-for-hire (Crypto Stresser, DDG Stresser, Instant-Stresser, Stresser.ai) для більшості своїх операцій. Однак у групи є деякі власні інструменти для здійснення атак.
Протягом останніх чотирьох місяців група намагалася атакувати: сайти 8 польських аеропортів; 12 організацій у Чехії в авіаційному, банківському, державному, військовому та телекомунікаційному секторах; 9 естонських організацій в урядовому, військовому та телекомунікаційному секторах, включаючи базу даних черги на перетині кордону Естонія-Росія; 5 румунських організацій в аерокосмічному та оборонному, банківському, урядовому та транспортному секторах; 13 аеропортів, 2 інформаційні агентства та нафтогазову компанію в Румунії; 8 основних інтернет-провайдерів (ISP), 2 мережі обміну трафіком, електронну платформу закупівель в Україні; кілька організацій у Литві, які включали цілі в урядовому, фінансовому, транспортному, телекомунікаційному та енергетичному секторах; загальнодоступний веб-сайт Конгресу США; системи голосування Євробачення під час виступу представника України у півфіналі.
KillNet був дуже активним з моменту початку своєї діяльності, висловлюючи бажання залучити членів через кілька різних онлайн-платформ. І хоча з групою пов’язано понад 50 000 учасників кількох Telegram-каналів, переважна більшість із них не залучені до активної злочинної діяльності в кіберпросторі.
Оскільки війна в Україні продовжується, суб’єкти всередині або пов’язані з нашою державою майже напевно залишаться дуже затребуваними цілями для цієї групи.
Цілком ймовірно, що проросійські групи чи оператори програм-вимагачів (наприклад із неіснуючої групи Conti) прислухаються до заклику KillNet і нададуть їм підтримку, що, ймовірно, призведе до того, що об’єкти, на які націлена KillNet, також будуть вражені програмами-вимагачами або DDoS-атаками як засобом вимагання.
Група KillNet продовжить розвиватися, але враховуючи схильність її учасників перебільшувати, деякі з оголошених кібероперацій і розробок можуть бути призначені лише для того, щоб привернути увагу як громадськості, так і підпільної кіберзлочинності, так як група обмежена у своїх можливостях.