Killnet es un grupo hacktivista prorruso, formado en marzo de 2022 que se especializó inicialmente en ataques de DDoS con motivo del inicio de la guerra de Ucrania.

Y decimos inicialmente porque tanto su motivación como sus ataques han ido modificándose a lo largo del conflicto, convirtiéndose prácticamente en un grupo ciber terrorista.

El modus operandi es el mismo que otros grupos pro rusos, utilizando canales de Telegram para comunicarse y exponer sus logros donde actualmente tienen mas de 103 mil seguidores.

Sin embargo, Killnet es un grupo muy especialista, y es que, aun siendo grupos de volntarios, estos se organizan como una estructura militar dividida en diferentes escuadrones o “squads, cada uno de ellos se ha especializado en un tipo de ataque y técnicas.

Su escuadra principal sería Legion, de la que dependen; Zayra Squad, Vera Squad, RAYD Squad y Sakurajima. Todas estas “squads” tienen diferentes misiones, por ejemplo Vera Squad es la encargada de la botnet “VERA”, la cual atacó  con éxito la OTAN con una red de más de 700.000 bots.

Y aunque su especialidad siempre han sido los ataques de denegación de servicio, el grupo ha ido modificando sus técnicas y tácticas, un ejemplo lo tenemos en la infiltración que consiguieron llevar a cabo con éxito contra la OTAN, donde exfiltraron diferentes credenciales de soldados de la alianza.

Por qué nos debe preocupar Killnet en el conflicto de Israel

A raíz del inicio del conflicto, Anonymous Sudan, otro grupo hacktivista muy activo, anunció su alianza con Killnet para atacar a países pro Israelís y, el día 16 de Octubre, el grupo de Ransomware as a Service (RaaS) REvil, que llevaba meses de inactividad, se unió a esta alianza, por lo que se nos presenta un escenario muy peligroso en caso de ataques combinados entre diferentes organizaciones.

Killnet a diferencia de grupos como Noname057, dispone de múltiples alianzas con otros grupos hactivistas, ciber terroristas y ciber criminales, se les asocia también con el APT 28 o Fancy Bear, uno de los grupos patrocinados por el Kremlin.

Entre sus técnicas y tácticas se encuentran

  • ICMP Flood
  • IP Fragmentation
  • TCP SYN Floof
  • TCP RST Flood
  • TCP SYN / ACK
  • NTP Flood
  • DNS Amplification
  • LDAP Connection less (CLAP)
Rafa López
https://www.mypublicinbox.com/RFK13
Especialista en ciber incidentes. Profesor y apasionado de la ciberguridad. Mi actual rol es en Perception Point, expertos en protección de e-mail y cloud apps. Esta posición ha sido un cambio tras haber estado durante toda mi vida profesional gestionando crisis durante incidentes de ciberseguridad y dirigiendo equipos de CERT y soporte. Lo he compatibilizado con la arquitectura de ciberseguridad, gestión de productos, servicios y desarrollo de negocio.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre