Análisis en profundidad

KillNet: que es y cómo opera la banda criminal cibernética cercana al Kremlin

KillNet es un colectivo criminal prorruso que ha crecido mucho en poco tiempo. He aquí un análisis en profundidad de lo que sabemos y de su modus operandi

06 Oct 2022

Redacción InnovaciónDigital360

KillNet

Los primeros rastros de las operaciones maliciosas de esta banda cibernética, KillNet, datan de enero de este año. Su primer mensaje en la plataforma Telegram fue el 23 de enero de 2022, cuando anunciaron cómo su botnet estaba casi lista para ser operativa y lanzada. 

Los detalles de la red de bots KillNet

KillNet se creó originalmente para el desarrollo de una red de bots para ataques DDoS que, según fuentes de Cluster25, podría estar formada por entre 500.000 y 700.000 zombis (por «zombis» se entiende el número de hosts infectados que pueden utilizarse para atacar objetivos). 

Este tamaño, calculado sobre la base del tráfico de red que la red de bots sería capaz de generar, según el propio Cluster (aproximadamente 2 Terabits), es más que suficiente para desafiar incluso a sitios muy bien protegidos.

Por lo tanto, es interesante observar que esta red de bots se creó originalmente con fines de lucro, ya que podía alquilarse fácilmente; hasta que se decidió dedicarla por completo al activismo prorruso. En el caso de la versión 2.0, los precios indicados oscilan entre 50 dólares para picos de tráfico de hasta 30 GPBS y 3.000 dólares para picos de hasta 1 TBPS.

Ataques atribuidos a la ciberbanda

El primer ataque oficial registrado por el colectivo KillNet fue contra el grupo hacktivista Anonymous, inmediatamente después de que se uniera al bando ucraniano contra Rusia el 25 de febrero de 2022.

A continuación, los ataques se dirigieron a Ucrania (contra el sitio web del presidente del país) y luego se trasladaron a Polonia, atacando el principal centro de medios de comunicación polaco «POLANDHUB». Ambos atentados se llevaron a cabo el 26 de febrero de 2022. A partir de esta fecha, KillNet ha participado en varios ataques; los más destacados son los realizados contra el sitio web del ejército ucraniano y el de Vodafone – Ucrania.

A principios de marzo, el grupo comenzó a pedir donaciones e incluso inició una colecta de NFT, además de cooperar con otro grupo de habla rusa llamado XakNet, que utilizó DoS-NET para atacar al proveedor de Internet ucraniano VinFast, en respuesta al ataque al operador de telefonía móvil ruso Beeline.

El 17 de marzo, el colectivo abrió el acceso a todos aquellos que quisieran y pudieran ayudarles; invitaron a spammers, diseñadores, pentesters, especialistas en ataques DDoS, phishers y demás a unirse a la banda.

KillNet dejó claro de inmediato que el equipo completo tendría tres macrogrupos operativos: un grupo de ataque, un grupo de distribución/comercialización y un grupo técnico.

Tras esta «llamada a las armas», la dirección comenzó a apuntar a algunas celebridades rusas que abandonaron el país por la guerra entre Rusia y Ucrania o criticaron esta «operación especial», como el cantante Maxim Galkin y su esposa Alla Pugacheva, el cantautor Valery Meladze, la presentadora de televisión rusa Ksenia Sobchak, el cómico Ivan Urgant, la corista Anastasia Ivleeva y el rapero Morgenshtern. El grupo ha divulgado algunos datos personales de estas personas.

La nueva variante de la red de bots KillNet

Mientras tanto, el 19 de marzo se publicó la nueva versión de la red DDoS Killnet. En la actualización, el grupo añadió un nuevo método de registro, más descentralización, una optimización en los ataques a nivel de aplicación, la capacidad de la botnet para eludir DDOS GUARD y CloudFlare.

El grupo también declaró que el servicio no era accesible en los países de la UE y la OTAN, incluida Ucrania, y que la red de bots no podía atacar ningún sitio del gobierno ruso.  Los ciberdelincuentes de KillNet también declararon que no cooperarían con las fuerzas del orden de ningún país.

Tras el lanzamiento de la versión 2.0 de la red de bots, el grupo atacó el sitio web del Ministerio del Interior de Letonia porque el bloguero Kirill Fedorov fue detenido en el país y acusado de apoyar a la Federación Rusa, lo que se consideró traición.

Posteriormente, KillNet atacó el sitio web del Tribunal Supremo de Polonia, el Banco Nacional de Polonia y la Agencia Estatal de Inversiones y Comercio de Polonia, porque el país estaba tratando de iniciar una guerra entre Rusia y la OTAN, como afirmaba el grupo.

A partir de ese momento, KillNet estuvo especialmente activo en varios frentes hasta el 20 de abril de 2022, cuando comenzó en Tallin el ejercicio internacional «Locked Shields», organizado por el Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN (CCDCOE).

Actividades de KillNet dirigidas a los países de la OTAN

KillNet aprovechó la oportunidad y atacó el sitio web oficial del centro de la OTAN. Dado que el ejercicio Locked Shields y el CCDCOE tienen su sede en Estonia, el grupo de hackers también centró su ataque en el sitio de transporte ferroviario estonio, los aeropuertos de Tallin y Kärdla, el portal estatal estonio y los sitios del departamento de aduanas y de transporte.

Después de Estonia, KillNet siguió apuntando a la República Checa. El 27 de abril, el grupo tumbó los sitios web oficiales del Ministerio de Defensa; de la administración pública checa; de la Policía Nacional; del sistema ferroviario nacional; de la Facultad de Informática de la Universidad de Praga; y tres aeropuertos internacionales de Brno-Turany, Ostrava y Pardubice.

Desde los últimos días de abril, el grupo KillNet ha puesto en marcha una especie de academia llamada Legión, una cibercoalición de reciente creación que cuenta, en el momento de escribir este artículo, con seis «destacamentos» operativos que realizan ataques coordinados: son Zarya, Impulse, Mirai, Sakurajima, Kaijuk y Jacky.

Los ciberdelincuentes reunieron a un número de voluntarios que informan a cinco «generales» diferentes que administran las operaciones. El 11 de mayo de 2022, las divisiones Mirai y Jacky atacaron sitios web pertenecientes al Parlamento letón. Ese mismo día, la Legión identificó otros objetivos en suelo europeo; Italia y España fueron asignados a la división Mirai, mientras que Polonia y Alemania a las divisiones Sakuraijima y Jacky.

Curiosamente, la Legión dejó claro desde el principio que no había ninguna restricción en el compromiso de estos objetivos.

Conclusiones

KillNet es un colectivo complejo que ha conseguido crecer mucho en poco tiempo creando academias y subgrupos.

Es fácil suponer que el grupo continuará su labor comprometiendo en un futuro próximo a otros objetivos de los países de la OTAN o, al menos, a entidades y órganos en desacuerdo con las políticas rusas

Por Emanuele De Lucia

@RESERVADOS TODOS LOS DERECHOS
Temas principales

Especificaciones

B
bots
C
ciberbanda
K
KillNet

Nota 1 de 5