Alerta (AA22-110A) Ameaças cibernéticas criminais e patrocinadas pelo Estado russo à infraestrutura crítica

Operações cibernéticas patrocinadas pelo Estado russo

Atores cibernéticos patrocinados pelo Estado russo demonstraram capacidade de comprometer redes de TI; desenvolver mecanismos para manter o acesso persistente e de longo prazo às redes de TI; exfiltrar dados confidenciais de redes de TI e tecnologia operacional (OT); e interromper funções críticas de sistemas de controle industrial (ICS)/OT implantando malware destrutivo.
As operações históricas incluíram a implantação de malware destrutivo – incluindo BlackEnergy e NotPetya – contra o governo ucraniano e organizações de infraestrutura crítica. As recentes operações cibernéticas patrocinadas pelo Estado russo incluíram ataques DDoS contra organizações ucranianas. Observação: para obter mais informações sobre a atividade cibernética patrocinada pelo estado russo, incluindo TTPs conhecidos, consulte CSA conjuntoEntendendo e mitigando ameaças cibernéticas patrocinadas pelo Estado russo à infraestrutura crítica dos EUA.

Atores de ameaças cibernéticas do seguinte governo russo e organizações militares realizaram operações cibernéticas maliciosas contra redes de TI e/ou OT:

• O Serviço Federal de Segurança da Rússia (FSB), incluindo o Centro 16 e o ​​Centro 18 do FSB
• Serviço de Inteligência Estrangeira da Rússia (SVR)
• Direcção Principal de Inteligência do Estado-Maior Russo (GRU), 85º Centro de Serviço Especial Principal (GTsSS)
• Centro Principal de Tecnologias Especiais do GRU (GTsST)
• Ministério da Defesa da Rússia, Instituto Científico Central de Química e Mecânica (TsNIIKhM)

O Serviço Federal de Segurança da Rússia

Visão geral: FSB, a agência sucessora da KGB, realizou operações cibernéticas maliciosas visando o Setor de Energia, incluindo empresas de energia do Reino Unido e dos EUA, organizações de aviação dos EUA, governo e militares dos EUA, organizações privadas, empresas de segurança cibernética e jornalistas. O FSB é conhecido por incumbir hackers criminosos de atividades cibernéticas com foco em espionagem; esses mesmos hackers foram responsáveis ​​separadamente por campanhas disruptivas de ransomware e phishing.

Os relatórios do setor identificam três conjuntos de intrusão associados ao FSB, mas os governos dos EUA e do Reino Unido apenas atribuíram formalmente um desses conjuntos – conhecido como BERSERK BEAR – ao FSB.

• BERSERK BEAR (também conhecido como Crouching Yeti, Dragonfly, Energetic Bear e Temp.Isotope)tem, de acordo com relatórios do setor, entidades historicamente direcionadas na Europa Ocidental e América do Norte, incluindo organizações estaduais, locais, tribais e territoriais (SLTT), bem como organizações do setor de energia, sistemas de transporte e base industrial de defesa (DIB). Este grupo também tem como alvo o Setor de Sistemas de Água e Águas Residuais e outras instalações de infraestrutura crítica. Os TTPs comuns incluem varredura para explorar a infraestrutura voltada para a Internet e dispositivos de rede, realizando ataques de força bruta contra aplicativos da Web voltados para o público e aproveitando a infraestrutura comprometida – geralmente sites frequentados ou de propriedade de seu alvo – para Windows New Technology Local Area Network Manager (NTLM) roubo de credenciais. Os relatórios do setor avaliam que esse ator tem um mandato destrutivo.

Os governos dos EUA e do Reino Unido avaliam que esse grupo APT é quase certamente o Centro 16 do FSB, ou Unidade Militar 71330, e que o Centro 16 do FSB realizou operações cibernéticas contra sistemas e infraestrutura de TI críticos na Europa, nas Américas e na Ásia.

Recursos: para obter mais informações sobre o BERSERK BEAR, consulte a página da Web do MITRE ATT&CK® no Dragonfly.

Atividade de alto perfil: em 2017, funcionários da FSB, incluindo um funcionário do FSB Center for Information Security (também conhecido como Unit 64829 e Center 18), foram indiciados pelo Departamento de Justiça dos EUA (DOJ) por acessar contas de e-mail do governo dos EUA e militares, organizações privadas e empresas de segurança cibernética, bem como contas de e-mail de jornalistas críticos do governo russo.[ 9 ] Mais recentemente, em 2021, oficiais do FSB Center 16 foram indiciados pelo DOJ dos EUA por seu envolvimento em uma multi- campanha em que eles obtiveram acesso remoto às redes do setor de energia dos EUA e internacionais, implantaram malware focado em ICS e coletaram e exfiltraram dados corporativos e relacionados a ICS. Uma das vítimas foi uma usina nuclear dos EUA.[ 10 ]

Recursos: para mais informações sobre o FSB, consulte:

• Comunicado de imprensa do DOJ dos EUA Quatro funcionários do governo russo acusados ​​em duas campanhas históricas de hackers visando infraestrutura crítica em todo o mundo
• Táticas, técnicas e procedimentos conjuntos de CSA de ciberatores russos patrocinados pelo Estado indiciados visando o setor de energia
• Comunicado de imprensa do Reino Unido Reino Unido expõe agência de espionagem russa por trás de incidentes cibernéticos

Serviço de Inteligência Estrangeira da Rússia

Visão geral: a SVR opera um grupo APT desde pelo menos 2008 que tem como alvo várias organizações de infraestrutura crítica. Os agentes de ameaças cibernéticas SVR usaram uma variedade de técnicas de exploração inicial que variam em sofisticação, juntamente com o comércio de intrusão furtiva em redes comprometidas. As novas ferramentas e técnicas dos atores cibernéticos de SVR incluem:

• Malware multiplataforma personalizado e sofisticado visando sistemas Windows e Linux (por exemplo, GoldMax e TrailBlazer); e
• Movimento lateral por meio da técnica de “salto de credenciais”, que inclui roubo de cookies do navegador para ignorar a autenticação multifator (MFA) em contas de nuvem privilegiadas.[ 11 ]

Atividade de alto nível: o governo dos EUA, o governo do Canadá e o governo do Reino Unido avaliam que os agentes de ameaças cibernéticas SVR foram responsáveis ​​pelo comprometimento da cadeia de suprimentos da SolarWinds Orion e pela campanha associada que afetou agências governamentais dos EUA, entidades de infraestrutura crítica e setor privado organizações.[ 12 ][ 13 ][ 14 ]

Também conhecido como: APT29, COZY BEAR, CozyDuke, Dark Halo, The Dukes, NOBELIUM e NobleBaron, StellarParticle, UNC2452, YTTRIUM [ 15 ]

Recursos: para mais informações sobre SVR, consulte:

• Joint CSA Russian Foreign Intelligence Service (SVR) Operações Cibernéticas: Tendências e Melhores Práticas para Defensores de Rede
• Consultoria conjunta TTPs adicionais associados a atores cibernéticos SVR
• A página do MITRE ATT&CK no APT29

Para obter mais informações sobre o comprometimento da cadeia de suprimentos do SolarWinds Orion, consulte:

• Página da Web do Compromisso da Cadeia de Suprimentos da CISA
• A página da Web da CISA em Remediating Networks Affected by SolarWinds and Active Directory/M365 Compromise
• Orientação NCSC-UK Lidando com o compromisso SolarWinds Orion

GRU, 85º Centro de Serviços Especiais Principal

Visão geral: GTsSS, ou Unidade 26165, é um grupo APT que opera desde pelo menos 2004 e visa principalmente organizações governamentais, entidades de viagens e hospitalidade, instituições de pesquisa e organizações não governamentais, além de outras organizações de infraestrutura crítica.

De acordo com relatórios do setor, os atores cibernéticos do GTsSS frequentemente coletam credenciais para obter acesso inicial às organizações-alvo. Os atores do GTsSS coletaram as credenciais das vítimas enviando e-mails de spearphishing que parecem ser alertas de segurança legítimos do provedor de e-mail da vítima e incluem hiperlinks que levam a páginas de logon de serviços de webmail populares falsificados. Os atores GTsSS também registraram domínios para realizar operações de coleta de credenciais. Esses domínios imitam plataformas de mídia social internacionais populares e se disfarçam de entidades relacionadas ao turismo e esportes e serviços de streaming de música e vídeo.

Atividade de alto perfil: o governo dos EUA avalia que os atores cibernéticos do GTsSS implantaram o malware Drovorub contra dispositivos das vítimas como parte de suas operações de espionagem cibernética.[ 16 ] O governo dos EUA e o governo do Reino Unido avaliam que os atores do GTsSS usaram um cluster Kubernetes® para conduzir, tentativas de acesso de força bruta distribuídas e anônimas contra centenas de alvos do governo e do setor privado em todo o mundo .[ 17 ]

Também conhecido como: APT28, FANCY BEAR, Group 74, IRON TWILIGHT, PawnStorm, Sednit, SNAKEMACKEREL, Sofacy, STRONTIUM, Swallowtail, TG-4127, Threat Group-4127 e Tsar Team [ 18 ]

Recursos: para mais informações sobre GTsSS, consulte a página do MITRE ATT&CK no APT28.

Centro Principal de Tecnologias Especiais do GRU

Visão geral: GTsST, ou Unidade 74455, é um grupo APT que opera desde pelo menos 2009 e tem como alvo uma variedade de organizações de infraestrutura crítica, incluindo as dos setores de energia, sistemas de transporte e serviços financeiros. De acordo com relatórios da indústria, a GTsST também tem um extenso histórico de condução de espionagem cibernética, bem como operações destrutivas e disruptivas contra estados membros da OTAN, organizações governamentais e militares ocidentais e organizações críticas relacionadas à infraestrutura, inclusive no setor de energia.

A principal característica distintiva do grupo é que suas operações usam técnicas destinadas a causar efeitos disruptivos ou destrutivos em organizações-alvo usando ataques DDoS ou malware de limpeza. As operações destrutivas do grupo também aproveitaram o malware de limpeza que imita o ransomware ou o hacktivismo e pode resultar em efeitos colaterais para as organizações além dos principais alvos pretendidos. Algumas de suas operações disruptivas mostraram descaso ou ignorância de potenciais efeitos secundários ou terciários.

Atividade de alto perfil: a atividade maliciosa abaixo foi anteriormente atribuída ao GTsST pelo governo dos EUA e pelo governo do Reino Unido.[ 19 ][ 20 ]

• Os atores do GTsST realizaram um ataque cibernético contra empresas de distribuição de energia ucranianas em dezembro de 2015, levando à interrupção das operações de várias empresas e interrupções temporárias generalizadas. Os atores implantaram o malware BlackEnergy para roubar credenciais de usuários e usaram o componente destrutivo do BlackEnergy, KillDisk, para tornar os computadores infectados inoperantes.
• Em 2016, os atores do GTsST conduziram uma campanha de invasão cibernética contra uma empresa de transmissão elétrica ucraniana e implantaram o malware CrashOverride (também conhecido como Industroyer) projetado especificamente para atacar redes elétricas.
• Em junho de 2017, os atores do GTsST implantaram o malware disruptivo NotPetya contra organizações financeiras, de energia e governamentais ucranianas. NotPetya mascarado como ransomware, teve um grande impacto colateral e causou danos a milhões de dispositivos em todo o mundo.
• Em 2018, os atores do GTsST implantaram malware de exclusão de dados contra os Jogos Olímpicos de Inverno e Paralímpicos usando VPNFilter.

O governo dos EUA, o governo do Canadá e o governo do Reino Unido também atribuíram as operações cibernéticas em grande escala e disruptivas de outubro de 2019 contra uma série de provedores de hospedagem na web georgianos ao GTsST. Essa atividade resultou em sites – incluindo sites pertencentes ao governo georgiano, tribunais, organizações não governamentais (ONGs), mídia e empresas – sendo desfigurados e interrompidos o serviço de várias emissoras nacionais.[ 21 ] 22 ][ 23 ]

Também conhecido como: ELECTRUM, IRON VIKING, Quedagh, Sandworm Team, Telebots, VOODOO BEAR [ 24 ]

Recursos: para obter mais informações sobre GTsST, consulte a página da Web do MITRE ATT&CK no Sandworm Team .

Ministério da Defesa da Rússia, Instituto Científico Central de Química e Mecânica 

Visão geral: TsNIIKhM, conforme descrito em sua página da web, é uma organização de pesquisa sob o Ministério da Defesa da Rússia (MOD). Atores associados ao TsNIIKhM desenvolveram malware ICS destrutivo.

Atividade de alto perfil: TsNIIKhM foi sancionado pelo Departamento do Tesouro dos EUA por conexões com o malware destrutivo Triton (também chamado HatMan e TRISIS); O TsNIIKhM foi sancionado pelo Foreign, Commonwealth, and Development Office (FCDO) do Reino Unido por um incidente de 2017 que envolveu controles de substituição de segurança (com malware Triton) em uma refinaria de petróleo estrangeira . um funcionário do TsNIIKhM Applied Development Center (ADC) por conduzir invasões de computador contra organizações do setor de energia dos EUA. O funcionário indiciado também acessou os sistemas de uma refinaria de petróleo estrangeira e implantou o malware Triton.[ 27 ]] Triton é um malware customizado projetado para manipular sistemas instrumentados de segurança dentro de controladores ICS, desabilitando os alarmes de segurança que previnem condições perigosas.

Também conhecido como: Temp.Veles, XENOTIME [ 28 ]

Recursos: para mais informações sobre o TsNIIKhM, consulte a página MITRE ATT&CK em TEMP.Veles . Para mais informações sobre Tritão, consulte:

• CISA Malware Analysis Report (MAR) Hatman – Malware direcionado ao sistema de segurança (atualização B)
• CISA ICS Advisory: Schneider Electric Triconex Tricon (Atualização B)
• Táticas, técnicas e procedimentos conjuntos de CSA de ciberatores russos patrocinados pelo Estado indiciados visando o setor de energia
• NCSC-UK Advisory TRITON Malware Direcionando Controladores de Segurança

Grupos de ameaças cibernéticas alinhados à Rússia

Além dos grupos APT identificados na seção de Operações Cibernéticas Patrocinadas pelo Estado Russo, os relatórios do setor identificam dois conjuntos de intrusão – URSO PRIMITIVO e URSO VENOMOUS – como grupos APT patrocinados pelo estado, mas cibernéticos dos EUA, Austrália, Canadá, Nova Zelândia e Reino Unido. as autoridades não atribuíram esses grupos ao governo russo.

• A PRIMITIVE BEAR , de acordo com relatórios do setor, tem como alvo organizações ucranianas desde pelo menos 2013. Essa atividade inclui o governo ucraniano, militares e entidades policiais usando campanhas de spearphishing de alto volume para entregar seu malware personalizado. De acordo com relatórios da indústria, a PRIMITIVE BEAR realizou várias operações cibernéticas visando organizações ucranianas antes da invasão da Rússia.

Recursos: para mais informações sobre o PRIMITIVE BEAR, consulte a página MITRE ATT&CK no Grupo Gamaredon .

• VENOMOUS BEAR tem, de acordo com relatórios da indústria, historicamente visado governos alinhados com a Organização do Tratado do Atlântico Norte (OTAN), contratados de defesa e outras organizações de valor de inteligência. Venomous Bear é conhecido por seu uso exclusivo de conexões de internet via satélite sequestradas para comando e controle (C2). Também é conhecido pelo sequestro de outra infraestrutura de atores APT não-russos patrocinados pelo estado.[ 29 ] VENOMOUS BEAR também alavancou historicamente a infraestrutura comprometida e manteve um arsenal de famílias de malware sofisticadas desenvolvidas sob medida, que é extremamente complexo e interoperável com variantes desenvolvido ao longo do tempo. VENOMOUS BEAR desenvolveu ferramentas para múltiplas plataformas, incluindo Windows, Mac e Linux.[ 30 ]

Recursos: para obter mais informações sobre VENOMOUS BEAR, consulte a página da Web MITRE ATT&CK em Turla.

Grupos de crimes cibernéticos alinhados à Rússia

Os grupos de crimes cibernéticos geralmente são atores cibernéticos motivados financeiramente que buscam explorar vulnerabilidades humanas ou de segurança para permitir o roubo direto de dinheiro (por exemplo, obtendo informações de login do banco) ou extorquindo dinheiro das vítimas. Esses grupos representam ameaças consistentes para organizações de infraestrutura crítica globalmente.

Desde a invasão da Ucrânia pela Rússia em fevereiro de 2022, alguns grupos de crimes cibernéticos prometeram publicamente de forma independente apoio ao governo russo ou ao povo russo e/ou ameaçaram realizar operações cibernéticas para retaliar contra ataques percebidos contra a Rússia ou apoio material para a Ucrânia. Esses grupos de crimes cibernéticos alinhados à Rússia provavelmente representam uma ameaça para organizações de infraestrutura crítica principalmente por meio de:

• Implantação de ransomware por meio do qual os cibercriminosos removem o acesso da vítima aos dados (geralmente por meio de criptografia), potencialmente causando uma interrupção significativa nas operações.
• Realização de ataques DDoS contra sites.
  • Em um ataque DDoS, o ator cibernético gera solicitações suficientes para inundar e sobrecarregar a página de destino e impedi-la de responder.
  • Os ataques DDoS geralmente são acompanhados de extorsão.
  • De acordo com relatórios do setor, alguns grupos de crimes cibernéticos realizaram recentemente ataques DDoS contra organizações de defesa ucranianas, e um grupo reivindicou o crédito pelo ataque DDoS contra um aeroporto dos EUA que os atores perceberam como apoiando a Ucrânia (consulte a seção Killnet).

Com base em relatórios do setor e de código aberto, as autoridades cibernéticas dos EUA, Austrália, Canadá, Nova Zelândia e Reino Unido avaliam que vários grupos de crimes cibernéticos alinhados à Rússia representam uma ameaça para organizações de infraestrutura crítica. Esses grupos incluem:

• O Projeto Cooming
• Killnet
• MÚMIA ARANHA 
• ARANHA SALGADA
• SCULLY ARANHA
• ARANHA DE FUMAÇA
• ARANHA MÁGICA
• A equipe Xaknet

Observação: embora alguns grupos de crimes cibernéticos possam realizar operações cibernéticas em apoio ao governo russo, as autoridades cibernéticas dos EUA, Austrália, Canadá, Nova Zelândia e Reino Unido avaliam que os criminosos cibernéticos provavelmente continuarão a operar principalmente com base em motivações financeiras, que podem incluir a segmentação organizações governamentais e de infraestrutura crítica.

O Projeto Cooming

Visão geral: o CoomingProject é um grupo criminoso que extorque dinheiro das vítimas expondo ou ameaçando expor dados vazados. Seu site de vazamento de dados foi lançado em agosto de 2021. [31 ] O CoomingProject afirmou que apoiaria o governo russo em resposta a ataques cibernéticos percebidos contra a Rússia.[ 32 ]

Killnet

Visão geral: de acordo com relatórios de código aberto, Killnet lançou um vídeo prometendo apoio à Rússia.[ 33 ]
Vítimas: Killnet reivindicou o crédito por realizar um ataque DDoS contra um aeroporto dos EUA em março de 2022 em resposta ao suporte de material dos EUA para a Ucrânia.[ 34 ]

MÚMIA ARANHA

Visão geral: MUMMY SPIDER é um grupo de crimes cibernéticos que cria, distribui e opera o botnet Emotet. O Emotet é um malware avançado e modular que se originou como um trojan bancário (malware projetado para roubar informações de sistemas bancários, mas que também pode ser usado para descartar malware e ransomware adicionais). Hoje, o Emotet funciona principalmente como um serviço de download e distribuição para outros grupos de crimes cibernéticos. O Emotet foi usado para implantar o TrickBot do WIZARD SPIDER, que geralmente é um precursor da entrega de ransomware. O Emotet possui recursos semelhantes a worms que permitem a rápida disseminação em uma rede infectada.

Vítimas: de acordo com fontes abertas, o Emotet tem sido usado para atingir indústrias em todo o mundo, incluindo redes de organizações financeiras, de comércio eletrônico, saúde, academia, governo e tecnologia.

Também conhecido como: Gold Crestwood, TA542, TEMP.Mixmaster, UNC3443

Recursos: para obter mais informações sobre o Emotet, consulte o Alert Emotet Malware conjunto. Para obter mais informações sobre o TrickBot, consulte Joint CSA TrickBot Malware.

ARANHA SALGADA

Visão geral: SALTY SPIDER é um grupo de crimes cibernéticos que desenvolve e opera o botnet Sality. Sality é um infector de arquivo polimórfico que foi descoberto em 2003; desde então, foi substituído por carregadores de malware peer-to-peer (P2P) mais avançados.[ 35 ]

Vítimas: de acordo com relatórios da indústria, em fevereiro de 2022, a SALTY SPIDER realizou ataques DDoS contra fóruns da web ucranianos usados ​​para discutir eventos relacionados à ofensiva militar da Rússia contra a cidade de Kharkiv.

Também conhecido como: Salidade

SCULLY ARANHA

Visão geral: SCULLY SPIDER é um grupo de crimes cibernéticos que opera usando um modelo de malware como serviço; SCULLY SPIDER mantém a infraestrutura de comando e controle e vende acesso ao malware e infraestrutura para afiliados, que distribuem seu próprio malware . em 2021 e desde então tem sido usado para facilitar o acesso de outros tipos de malware, incluindo TrickBot, DoppelDridex e Zloader. Assim como o Emotet, o Danabot funciona efetivamente como um vetor de acesso inicial para outros malwares, o que pode resultar na implantação de ransomware.

De acordo com relatórios da indústria, atividade recente de DDoS pela botnet DanaBot sugere que SCULLY SPIDER operou em apoio à ofensiva militar da Rússia na Ucrânia.

Vítimas: As afiliadas da SCULLY SPIDER têm como alvo principalmente organizações nos Estados Unidos, Canadá, Alemanha, Reino Unido, Austrália, Itália, Polônia, México e Ucrânia.[ 38 ] De acordo com relatórios do setor, em março de 2022, Danabot foi usado em ataques DDoS contra várias organizações governamentais ucranianas.

Também conhecido como: Ópera de Ouro

ARANHA DE FUMAÇA

Visão geral: SMOKEY SPIDER é um grupo de crimes cibernéticos que desenvolve o Smoke Loader (também conhecido como Smoke Bot), um bot malicioso que é usado para carregar outros malwares. O Smoke Loader está disponível desde pelo menos 2011 e opera como um serviço de distribuição de malware para várias cargas diferentes, incluindo—mas não limitado a—DanaBot, TrickBot e Qakbot.

Vítimas: de acordo com relatórios do setor, o Smoke Loader foi observado em março de 2022 distribuindo cargas úteis do DanaBot que foram posteriormente usadas em ataques DDoS contra alvos ucranianos.
Recursos: para obter mais informações sobre o Smoke Loader, consulte a página da Web do MITRE ATT&CK no Smoke Loader.

ARANHA MÁGICA

Visão geral: WIZARD SPIDER é um grupo de crimes cibernéticos que desenvolve malware TrickBot e ransomware Conti. Historicamente, o grupo pagou um salário aos implantadores de ransomware (referidos como afiliados), alguns dos quais podem receber uma parte dos lucros de um ataque de ransomware bem-sucedido. Além do TrickBot, os vetores iniciais notáveis ​​de acesso e persistência para atores afiliados incluem Emotet, Cobalt Strike, spearphishing e credenciais de Remote Desktop Protocol (RDP) roubadas ou fracas.

Após obter o acesso, os atores afiliados ao WIZARD SPIDER confiaram em várias ferramentas publicamente disponíveis e legítimas para facilitar os estágios anteriores do ciclo de vida do ataque antes de implantar o Conti ransomware.

WIZARD SPIDER prometeu apoio ao governo russo e ameaçou organizações de infra-estrutura crítica de países considerados para realizar ataques cibernéticos ou guerra contra o governo russo.[ 39 ] Eles posteriormente revisaram essa promessa e ameaçaram retaliar contra ataques percebidos contra o povo russo.[ 40 ]

Vítimas: As organizações de vítimas da Conti abrangem vários setores, incluindo construção e engenharia, serviços jurídicos e profissionais, manufatura e varejo. Além disso, as afiliadas da WIZARD SPIDER implantaram o ransomware Conti contra as redes de saúde e primeiros socorros dos EUA.

Também conhecido como: UNC2727, Gold Ulrick

Recursos: para obter mais informações sobre o Conti, consulte o CSA Conti Ransomware conjunto. Para obter mais informações sobre o TrickBot, consulte Joint CSA TrickBot Malware.

A equipe XakNet

Visão geral: XakNet é um grupo cibernético de língua russa que está ativo desde março de 2022. De acordo com relatórios de código aberto, a equipe XakNet ameaçou atacar organizações ucranianas em resposta a ataques DDoS ou outros ataques contra a Rússia.[ 41 ] De acordo com para relatórios da indústria, em 31 de março de 2022, a XakNet divulgou uma declaração afirmando que trabalharia “exclusivamente para o bem da [Rússia]”. De acordo com relatórios do setor, a equipe XakNet pode estar trabalhando ou associada a atores do Killnet, que reivindicaram o crédito pelos ataques DDoS contra um aeroporto dos EUA (consulte a seção Killnet).

Vítimas: de acordo com relatórios da indústria, no final de março de 2022, a equipe XakNet vazou conteúdo de e-mail de um funcionário do governo ucraniano. O vazamento foi acompanhado por uma declaração política criticando o governo ucraniano, sugerindo que o vazamento foi politicamente motivado.