[Segurança] A Guerra cibernética na Ucrânia

(Nota: Desde 01/04 esse post tem sido suspenso e colocado sob revisão do Blogger periodicamente, sob suspeita de violação da política de conteúdo do site. Este post é apenas uma coletânea de fatos técnicos sobre o ciber conflito entre Russia e Ucrânia, obtidos de fontes pública. 

Não há conteúdo malicioso sendo publicado aqui!

Devido a insistencia em suspender este post, eu optei por remover as informações sobre IOCs e colocá-las em um post separado - Eu lamento pela comunidade de segurança ser censurada em tais informações relevantes.

Note: Since 04/01 this post was been suspended and placed under review by Blogger, on suspicion of violating the site's content guidelines. This post is just a collection of technical information and facts about the cyber conflict between Russia and Ukraine, obtained from public sources.

There is no malicious content published here!

Due to the insistence on unpublishing this post, I had to remove the IOCs information and to create another post about it - I'm sorry for the information security community to have to be censored on such relevant information.)

Com o início da guerra da Rússia contra a Ucrânia, em 24 de fevereiro de 2022, é impossível não pensar nos ciber ataques que tem sido realizados nesse período. Isso porque a "guerra cibernética" não só é uma realidade (faz tempo!), mas também porque as operações online e os ataques cibernéticos fazem parte de qualquer estratégia de guerra moderna. A guerra cibernética já existe desde o ataque a Estonia em 2007 e já assistimos a casos de guerra física e cibernética acontecendo juntas desde a invasão da Georgia em 2008. Coincidentemente, os dois casos também foram de conflitos envolvendo a Russia.

De acordo com o Serviço do Estado de Comunicações Especiais e Proteção de Informação da Ucrânia (Derzhspetszviazok), até o final de Junho de 2022 já haviam sido registrados 796 ataques cibernéticos contra a Ucrânia desde o início do conflito, em 24 de fevereiro deste ano - com uma grande parte deles visando a infra-estrutura crítica do país. Muitos dos ciber ataques da Rússia são relacionados, e às vezes diretamente sincronizados, com suas operações militares no mundo físico (cinéticas).

Os ciber ataques contra a infraestrutura crítica da Ucrânia iniciaram em 23 de Janeiro, então podemos dizer, sem sombra de dúvidas, que a primeira ação da guerra foi cibernética. Antes das balas e tanques, vieram os bits e bytes.

Há quem chame esse cenário de "guerra híbrida". Neste caso em particular, como disse muito bem o Wolmer Godoi, estamos vendo "um cenário jamais vivenciado pela história, uma guerra cinética, financeira e cibernética", em contraponto ao modelo de "guerra tradicional", disputada exclusivamente por forças militares na terra, mar e ar.

Eu acrescentaria mais uma coisa... "estamos vivenciando uma guerra cinética, financeira, cibernética e pelo TikTok".

OBS: Para quem não é familiar com o assunto, "guerra cinética" é um termo usado para fazer referência ao cenário de guerra tradicional, no mundo físico - aquela que acontece desde a Idade da Pedra.

O Departamento de Defesa dos EUA resumiu as táticas da Rússia em seu 2023 Department of Defense Cyber Strategy Summary:

"Na guerra da Rússia contra a Ucrânia, as unidades militares e de inteligência russas empregaram uma série de capacidades cibernéticas para apoiar operações cinéticas e defender as ações russas através de uma campanha de propaganda global. A Rússia tem utilizado repetidamente meios cibernéticos nas suas tentativas de perturbar a logística militar ucraniana, sabotar infra-estruturas civis e minar a vontade política. Embora estes esforços tenham produzido resultados limitados, isso deve-se em grande parte à resiliência das redes ucranianas e ao apoio da comunidade internacional."

Ou seja, os ataques cibernéticos acontecem em paralelo as operações de guerra no mundo real, com movimentação de tropas e ataques de mísseis. Como detalha um relatório produzido por pesquisadores associados ao governo da Ucrânia e divulgado pelo portal The Record (entre outros), a Rússia realizou várias operações de guerra sincronizando suas ações no campo de batalha, no ciber espaço e em campanhas de desinformação. Nesse cenário, o papel dos ataques cibernéticos russos é enfraquecer a Ucrânia e sua capacidade de combater operações convencionais, bem como cortar o acesso à informação da população civil. Eles também são usados para espalhar o pânico e minar a confiança nas autoridades locais e nas organizações internacionais que ajudam a Ucrânia.

Outro fator interessante é que estamos assistindo a guerra na Ucrânia através das redes sociais, com vídeos e posts compartilhados instantaneamente, pela Internet, a partir das pessoas que estão vivenciando o conflito, infelizmente: tanto civis e soldados. Assim, temos uma visão mais próxima do terror que é a realidade de uma guerra, sob o ponto de vista de quem está lá.

Para deixar claro, há diversas ações que são realizadas online, por forças militares e por civis, nos momentos antes, durante e depois de uma operação de guerra. Essas ações podem envolver grupos militares, que fazem parte oficialmente das forças armadas, grupos de cibercriminosos e de ciber espionagem independentes, porém apoiados informalmente ou indiretamente por governos específicos, grupos hacktivistas independentes e, inclusive, indivíduos (civis) independentes. Cada um desses grupos tem seu objetivos e tipos de ações bem específicos e claros, desde uma ação de ciber espionagem, ciber ataque a um alvo específico, participar de um protesto ou promover uma campanhas de desinformação - por exemplo. E as ações realizadas por cada num desses grupos podem ou não estar relacionados entre si.

A tabela abaixo resume, de forma bem simplificada, o papel de cada um desses grupos em um cenário de conflito cibernético. O objetivo não é desmerecer um grupo ou outro, até mesmo porque todos tem o seu papel neste momento. Mas é importante entender que cada um desses grupos tem seus objetivos e táticas bem específicos.

Ator	Objetivo	Complexidade / Risco	Antes da Guerra	Durante o conflito
Forças Armadas	Estratégico e Militar: Realizam operações de ciber ataque a infra-estrutura critica e alvos militares Operações de inteligência Ações de contra-informação	Alto Ataques sofisticados e de longo prazo (APTs)	Invadir preventivamente os sistemas do país alvo Campanhas para desacreditar o governo vigente (fake news, ciber ataques para impactar a credibilidade e os sistemas básicos)	Prejudicar ou interromper as operações militares do inimigo Causar caos entre a população Distribuir notícias (verdadeiras ou fake) a favor do próprio governo Espionar o adversário
Grupos de cibercrimes e ciber espionagems (independentes)	Fraudes e Espionagem: Ciber ataques destrutivos e espionagem a empresas e órgãos de governo	Alto Ataques sofisticados e, às vezes, de médio prazo (APTs)	Desestabilizar as empresas, através de ciber ataques e fraudes Roubo de informações estratégicas e de negócio	Impactar as operações regulares das empresas Roubo de informações estratégicas
Grupos Hacktivistas	Ativismo e Informação / Desinformação: Protestos online Causar impacto (pequeno) a empresas e órgãos militares e de governo	Baixo Ataques pontuais. Foco em DDoS, defacement, vazamento de dados e DoX.	Realizar ações de protesto online Ciber ataques contra empresas e governos Participar de campanhas de informação ou desinformação	Protestos online Participar de campanhas de informação ou desinformação Ciber ataques para causar impacto (pequeno e momentâneo)  a empresas e órgãos de militares e de governo
Indivíduos	Ativismo e Informação / Desinformação: Protestos online	Baixo Participação em protestos online, compartilhamento de informação e eventual colaboração em ataques de DDoS.	Realizar ações de protesto online Participar de campanhas de informação ou desinformação	Protestos online Participar de campanhas de informação ou desinformação

Os grupos hacktivistas são os que normalmente atraem mais atenção durante o conflito - até mesmo porque esse é o principal objetivo deles (atrair atenção da população e da mídia para a causa que defendem). Eles costumam utilizar formas pouco sofisticadas de ataques cibernéticos, principalmente ataques de negação de serviço (DDoS), mas com isso conseguem causar um pequeno impacto temporário em bancos, empresas, farmácias, hospitais, redes ferroviárias e serviços governamentais.

Veja um exemplo interessante de hacktivismo: para combater a censura imposta pelo presidente russo Vladmir Putin, um grupo de programadores da Polônia criou um site que gera números de telefone e e-mails da população da Rússia, permitindo o envio de mensagens para a população russa sobre a guerra na Ucrânia.

Todos esses grupos (militares, hacktivistas, população civil e até mesmo os ciber criminosos) possam ter participação em um cenário de guerra cinética e ciber guerra, e no conflito da Rússia com a Ucrânia isso foi particularmente verdade. Enquanto os exércitos dos dois países tenham realizado diversas ações de ataque e defesa cibernética, logo no início do conflito houve mobilização de hacktivistas apoiando a Ucrânia (na posição de vítima e nação menos poderosa nessa guerra), de grupos ciber criminosos russos apoiando seu país (atacando empresas e órgãos de governo ucraniano com diversos malwares) e civis se organizando e voluntariando em um exército de defesa cibernética da Ucrânia. Mas, como foi muito bem explicado pelo The Grugg, esses grupos tem objetivos e especializações diferentes, e normalmente atuam independente, sem um controle central e sem interação entre si. Tradicionalmente as forças armadas não consideram a população, hacktivistas e ciber criminosos como parte de suas doutrinas e ações de guerra. Do outro lado, ativistas e criminosos não se vêem como aliados e parte das ações de seus governos.

Voltando ao conflito entre a Rússia e a Ucrânia, é importante lembrar que a Rússia tem um longo histórico de uso de ciber ataques em operações militares, desde invasão da Geórgia, em 2008, quando realizou ataques de DDoS contra o governo local no momento da invasão, além de campanhas de informação e desinformação realizadas contra outros países (inclusive, é comum citar a Rússia como exemplo de uso de campanhas de desinformação para influenciar eleições de outros países). Durante os últimos anos também realizou diversos ciber ataques contra a Ucrânia, a ponto dos especialistas considerarem que a Ucrânia era usada como campo de treino das ciber armas russas. Logo, a Rússia não é um adversário a ser ignorado. E, felizmente para a Ucrânia, o país teve oportunidade de testar e reforçar suas defesas cibernéticas, construindo parcerias entre empresas e governos e desenvolvendo estratégias de defesa (veja mais nesse artigo).

A Ucrânia já havia sofrido vários ciber ataques, dois deles considerados de grande extensão: em 2015 quando um ciber ataque do vírus BlackEnergy contra empresas de distribuição de energia (causando um apagão que durou 6 horas), e em 2017, quando diversas empresas locais foram atacadas pelo malware Petya. Para saber um pouco mais sobre isso, vale a pena dar uma lida nesse artigo do The Record.

Alguns ciber ataques aconteceram nos dias que antecederam a triste invasão da Ucrânia por tropas Russas, incluindo o uso de malwares destrutivos e ações para cortar o acesso a Internet do país. Os principais alvos de ciber ataques foram sites do governo ucraniano, provedores de serviços de energia e de telecomunicações, instituições financeiras e meios de comunicação, com grande foco na infraestrutura crítica.

Mas, dado o potencial e a experiência russa, alguns especialistas acreditam que os ciber ataques contra a Ucrânia poderiam ter sido maiores ou mais frequentes. Há quem acredite que o governo russo possa recorrer a novos ciber ataques conforme aumente as tensões com outros países e, talvez, como uma resposta para a escalada das sanções políticas e econômicas contra a Rússia. Outra teoria é que, talvez, o governo russo esteja esperando para contra-atacar assim que os governos ocidentais comecem. realizar ciber ataques contra eles.

Mas uma coisa é certo; uma "ciber arma" tem um curto período de vida. Após realizar o ataque e ser descoberto, a indústria de segurança rapidamente compartilha as características do ataque e seus IOCs, e rapidamente são produzidas medidas de defesa (que podem incluir a criação de parches de segurança para softwares vulneráveis, caso o ataque utilize um zero day). Logo, se um país usasse todo o seu "arsenal" de ciber ataques, rapidamente ficaria desarmado. Logo, os ciber ataques devem ocorrer com muito cuidado e estratégia, justamente para não desperdiçar as capacidades ofensivas do atacante.

Segundo um estudo publicado em Agosto de 2022 por pesquisadores da Universidade de Cambridge, da Universidade de Edimburgo e da Universidade de Strathclyde, os ciber ataques relacionados a guerra entre Rússia e Ucrânia tiveram baixo impacto. Baseados em dados de dois meses antes e quatro meses após a invasão, que incluíram 281.000 ataques de defacement, 1,7 milhão de ataques DDoS e centenas de anúncios no Telegram usados ​ para coordenar suas atividades, o aumento dos ataques cibernéticos durou cerca de duas semanas antes de retornar aos níveis anteriores à guerra. De acordo com a análise, a Rússia foi a primeira a ser atacada em grande escala, seguida pela Ucrânia alguns dias depois. Mas, de acordo com a pesquisa, a maioria dos ataques foi de baixa complexidade, realizada por cibercriminosos de baixo nível usando ferramentas amplamente disponíveis. Os hacktivistas usaram principalmente ataques DDoS que tornaram os sites temporariamente inacessíveis, bem como ataques de desfiguração que alteraram a aparência dos sites. Em vez de atacar a infraestrutura crítica, como esperado, os hackers atacaram “sites inofensivos, extintos ou triviais” com nomes de domínio russos ou ucranianos, incluindo serviços de entrega de alimentos, sites de notícias e serviços de streaming.

Veja abaixo as três ondas de ciber ataques contra a Ucrânia, que ocorreram antes do início da invasão de seu território pelas tropas russas, no dia 24/02:

• No dia 13 de Janeiro foi identificada a ação de um malware "wiper", batizado de WhisperGate, que sobrescreve a Master Boot Record (MBR) e apresenta uma nota falsa de resgate, simulando um ransomware;

• Em 13 e 14 de janeiro, diversos sites do governo ucraniano sofreram defacement e saíram do ar após um grande ataque cibernético direcionado.aos portais do Ministério das Relações Exteriores, do Gabinete de Ministros, da Política Agrária, do Conselho de Segurança e Defesa e do Ministério da Educação e Ciência;

• No dia 15 de fevereiro, um ataque de DDoS derrubou os sites do Ministério da Defesa da Ucrânia e dois bancos, Privatbank e Oschadbank;
• Em 23 de fevereiro, um pouco antes do início da invasão russa, uma nova onda de ataques DDoS atingiu sites do governo Ucraniano, dos militares e bancos, incluindo o Ministério das Relações Exteriores, o Gabinete de Ministros, o Ministério da Defesa, o Ministério de Assuntos Internos e o Serviço Secreto. A botnet utilizada foi baseada no malware Cyclops Blink, baseado no VPNFilter. Também foi utilizado um "wiper", um malware destinado a destruir dados e sistemas, batizado de HermeticWiper (ou FoxBlade).

Segundo a Microsoft, foram identificados pelo menos seis grupos distintos, aliados à Rússia, que lançaram mais de 237 ciber ataques contra a Ucrânia – incluindo ataques destrutivos que ameaçaram o bem-estar da população civil.

Além disso, segundo o governo americano, grupos de ciber espionagem ligados ao governo russo atacaram empresas ligadas ao Departamento de Defesa dos EUA desde janeiro de 2020.

Após o início da invasão da Ucrânia, os ataques cibernéticos começaram desde o primeiro dia do conflito, com objetivo principal de prejudicar a infraestrutura de comunicação da Ucrânia. Um artigo da The Register destacou que o primeiro ciber ataque no conflito foi contra a rede de comunicação por satélite de uma empresa americana, a Viasat: "We are all aware that the first 'shot' in the current Ukraine conflict was a cyberattack against a US space company".

Estima-se que houve um aumento de quase 200% dos ciberataques contra o governo e o setor militar ucranianos nos 3 primeiros dias da guerra. O pessoal da Curated Intelligence fez um timeline bem legal:

Além dos ciber ataques realizados pela Rússia, diversos grupos hacktivistas e de ransomware começaram a tomar partido contra algum dos lados do conflito, incluindo o grupo Anonymous (pró-Ucrânia), o grupo UNC1151 (também conhecido como GhostWriter ou TA445, supostamente bancados pelo governo da Bielorrúsia e historicamente contra a Ucrânia), o grupo responsável pelo ransomware Conti (que inicialmente se manifestou pró-Rússia, mas depois começou a manifestar apoio a Ucrânia e realizou diversos ataques), o grupo responsável pelo TrickBot - ou ITG23 (pró-Rússia) e o grupo russo Gamaredon.

Outro grupo hacktivista pró-russia que ganhou grande destaque nesses conflitos cibernéticos foi o Killnet, responsável por diversos ataques DDoS contra empresas e órgãos de governo nos EUA, Romênia e Itália.

O governo da Ucrânia pediu ajuda para criar um "Exército de TI" ("IT Army") com voluntários e grupos hacktivistas, já que não obteve apoio militar de outros governos, nem da OTAN. O próprio presidente da Ucrânia divulgou, em sua conta no Twitter, um pedido para que hackers se juntassem em um grupo no Telegram para apoiar o país no "cyber front".

Após o chamado da Ucrânia, alguns milhares de voluntários começaram a se organizar online, para participar em diversas iniciativas de apoio e protesto online. Segundo oficiais ucranianos, meio milhão de pessoas ao redor do mundo se voluntariaram a apoiar o "IT Army of Ukraine".

A onda de ciber ataques não parou por aí e seguiu intensa nos dias após a invasão da Ucrânia, incluindo ataques de DDoS, uso de malwares destrutivos (wipers),  roubo e vazamento de dados, defacement, etc. Até mesmo as autoridades russas admitiram que estão sofrendo um nível de ciber ataques sem precedentes.

Veja alguns desses ciber ataques que tem acontecido no decorrer do conflito entre a Rússia e Ucrânia, pelo menos aqueles que eu consegui acompanhar, provavelmente a pontinha do iceberg (em alguns dos casos, a data pode estar aproximada):

• No dia 24 de Fevereiro, no dia do início da invasão russa e um dia depois do ataque pelo HermeticWiper, um novo malware atacou a Ucrânia, batizado de IsaacWiper pela ESET. A empresa divulgou essa descoberta em 01 de Março;
• Em 24/02 a rede de acesso internet via satélites KA-SAT da empresa Viasat ficou fora do ar na Ucrânia, coincidindo com o início da invasão russa. Após obter acesso ao sistema de gestão da rede de satélites, o atacante desativou os modems dos clientes usando um malware wiper batizado de AcidRain. A empresa presta serviço para as forças militares e policiais na Ucrânia (mais informações aqui);
• No dia 27/02 foram vazados 13 meses de conversas internas do grupo hacktivista Conti através do perfil anônimo ContiLeaks, expondo informações do grupo como forma de protesto contra a Rússia;
• Em 27/02 o grupo hacktivista Belarusian Cyber-Partisans (CP), pró-Ucrânia, anunciou a invasão do sistema de ferrovias da Belarússia, causando a operação manual dos sistemas para impactar a movimentação de tropas russas;
• 28/02 foi o dia em que o Anonymous invadiu diversos canais da TV estatal russa e transmitiram o hino nacional da Ucrânia e notícias da guerra;
• Também em 28/02 o Anonymous alegou ter tido acesso a um computador russo do sistema de controle de gás na Ossetia do Norte;
• No dia 01 de Março o jornal ucraniano Ukrayinska Pravda noticiou um suposto vazamento de dados pessoais de quase 120 mil soldados russos (cerca de metade do contingente russo alocado na guerra). Esse pode ser o primeiro caso de doxxing usado para fins militares da história;
• Também em 01/03 foi divulgado pela Proofpoint que atacantes estavam usando usando contas de e-mail comprometidas de militares ucranianos para enviar phishing para membros de governos europeus, na tentativa de obter informações sobre os refugiados ucranianos;
• Em 02/03 hacktivistas invadiram uma rede de estações de carregamento de veículos elétricos na rota entre Moscou e São Petesburgo e colocaram mensagens ofensivas para o presidente russo;
• Em 03/03 a Malwarebytes alertou sobre uma campanha de phishing ativa pedindo doações em dinheiro (em duas carteiras de criptomoedas) para ajudar os refugiados da Ucrânia;
• Em 04 de Março, foi noticiado que um ciber ataque cibernético à rede de satélites Nordnet e Eutelsat pode ter sido causado por russos, deixando milhares de pessoas sem acesso a Internet na Europa. Acredita-se que os responsáveis foram russos, com objetivo de cortar o acesso a Internet do pessoal na Ucrânia;
• Em 04/03 hackers do grupo "v0g3lSec" fizeram um defacement no site do instituto de pesquisa espacial da Rússia e vazou dados da agência espacial russa Roscosmos;
• Em 06/03, um contra-ataque: o grupo Anonymous anunciou que conseguiu invadir o sinal de redes de streaming Wink e Ivi e TVs russas e transmitiram cenas da guerra;

• Em 07/03, o mantenedor do pacote node-ipc publicou uma nova versão com um componente malicioso, sob forma de protesto contra a guerra, que causa dano ao ser instalado em computadores com endereço IP da Rússia ou Bielorrúsia (CVE 2022-23812);
• Ainda em 07/03, o grupo Anonymous alegou ter invadido mais de 400 câmeras de segurança russas;
• Em 09/03 o grupo de pesquisadores CISCO Talos divulgou a descoberta de um malware disfarçado como um software batizado de "Liberator", promovida por um grupo chamado disBalancer como uma ferramenta para realizar ataques DDoS contra alvos de propaganda da Rússia. O objetivo era infectar os "soldados cibernéticos" pró-Ucrânia, roubando dados da máquina aonde for instalado;
• Em 10/03, o coletivo hacktivista Distributed Email of Secrets vazou duas coleções de dados com 820 GB de informações e documentos sensíveis da agência federal russa Roskomnadzor, responsável pela censura na imprensa local;
• Também em 10/03, pesquisadores da empresa Website Planet divulgaram que o hacktivistas do Anonymous e de grupos afiliados conseguiram invadir 90% das bases de dados expostas em servidores vulneráveis de provedores de nuvem russos;
• Em 12/03 um grupo de programadores poloneses lançou o site 1920.in, permitindo enviar mensagens por e-mail e SMS para a população russa sobre a guerra. Segundo o grupo Squad303, 7 milhões de mensagens SMS foram enviadas;
• Em 14/03 o Grupo Anonymous hackeou a subsidiária alemã da companhia de energia russa Rosnetf;
• Ainda no dia 14/03, o CERT da Ucrânia alertou sobre mensagens de phishing se passando por avisos de update do antivírus do Windows para instalar o malware Cobalt Strike;
• Também no dia 14/03 foi noticiado, pela ESET, um novo malware wiper atacando as redes das empresas da Ucrânia. Batizado de CaddyWiper, ele busca infectar servidores Windows;
• Em 15/03, um ataque de DDoS atribuído ao grupo Anonymous tirou do ar sites do governo russo, incluindo os sites do serviço secreto (Federal Security Service / FSB), da Bolsa de Valores, Analytical Center for the Government of the Russian Federation e do Ministério dos Esportes;
• No dia 16/03 surgiu um vídeo falso, usando a tecnologia de "deepfake", para simular que o presidente da Ucrânia, Volodymyr Zelensky estava declarando a rendição das tropas;
• Em 17/03 o grupo Anonymous vazou 79 GB de dados (incluindo e-mails e documentos internos) da empresa Omega, o braço de pesquisas da Transneft, a maior empresa de oleodutos do mundo, controlada pelo governo russo;
• Em 12/03 foi noticiado que o grupo IT Army of Ukraine realizou um ataque DDoS que derrubou cerca de 80 cinemas na Rússia;
• A partir do dia 17/03 as organizações ucranianas começaram a ser atacadas por mais um malware wiper distribuído através de ataques de spear-phishing, batizado de DoubleZero - conforme informado pelo CERT da Ucrânia em 23/03;
• Em 20/03 o grupo de hackers anti-Rússia The BlueHornet ou AgainstTheWest atacou e desfigurou o site da operação francesa da Nestlé e publicou no Pastebin detalhes pessoais de 15 executivos, supostamente da Nestlé nos EUA;

• Em 20/03 o grupo Anonymous declarou ter realizado um "Print Attack": invadiram pelo menos 160 impressoras vulneráveis no território russo e impresso mais de 40 mil mensagens anti-guerra no idioma local;
• Em 22/03 o grupo Anonymous anunciou ter invadido e roubado 10 GB de dados da Nestlé, incluindo e-mails e senhas e dados de clientes. A Nestlé negou.

• No dia 23/03 o grupo Anonymous anunciou ter roubado mais de 35 mil arquivos do Banco Central da Rússia;

• No dia 25/03 o grupo "The Black Rabbit World" (Thblckrbbtworld) (afiliado ao Anonymous) vazou 28 GB de documentos internos do Banco Central da Rússia;
• Em 28/03 um ciber ataque causou grande impacto aos usuários da maior operadora de telecomunicações da Ucrânia, a Ukrtelecom, reduzindo o tráfego para apenas 13%;
• Também no dia 28/03 o CERT-UA alertou sobre a distribuição de mensagem com o malware PseudoSteel, disfarçado de um arquivo com nome ""Information on the loss of servicemen of the Armed Forces of Ukraine.docx.exe."" (em ucraniano). O vírus rouba arquivos locais e os envia para um servidor FTP externo;
• Em 12/04 o o Computer Emergency Response Team da Ucrânia (CERT-UA) interrompeu uma tentativa de ciber ataque do Sandworm, um grupo de hackers conhecido por trabalhar para a inteligência militar da Rússia, que tentou derrubar um fornecedor de energia ucraniano;
• Em 12/05 o CERT-UA alertou sobre uma campanha por e-mail do grupo Armageddon, associado ao FSB russo, através de e-mails falsos distribuindo o malware GammaLoad.PS1v2;
• Em 19/05 uma variante do backdoor GoMet foi encontrada em uma grande empresa de desenvolvimento de software, que é utilizado por vários órgãos de governo ucranianos;
• Em 17/06 hackers atrasaram o início do discurso do presidente Vladimir Putin no principal fórum econômico da Rússia. O atraso, de cerca de 100 minutos, foi causado por um ataque DDoS;
• Em 27/06, o Centro Nacional de Segurança Cibernética da Lituânia, informou que diversas empresas do país foram vítimas de ataques distribuídos de negação de serviço (DDoS) realizados por grupos que apoiam a Rússia, incluindo o Killnet;
• Em 02/07 diversos sites importantes do governo da Noruega sofreram ataque DDoS por grupos favoráveis à Rússia;
• Foi noticiado em 05 de Julho que o grupo russo XakNet teria tentado atacar, sem sucesso, a DTEK, empresa que é a maior investidora privada da indústria de energia elétrica do país;
• Em 10/07 o CERT-UA noticiou que vários meios de comunicação na Ucrânia foram alvo de e-mails contendo um documento malicioso que explora uma vulnerabilidade de dia zero na Microsoft Support Diagnostic Tool (MSDT), CVE-2022-30190 (Follina) e acaba instalando uma variante do Dark Crystal RAT (DCRat) na máquina comprometida;
• No dia 20/07 foi divulgada a notícia de que hackers russos do grupo Turla criaram um aplicativo malicioso que se identificava como “pró-Ucrânia”, batizado de Cyber Azov (em referência ao Regimento Azov), para instalar um malware nos usuários - o que prometia ser um app para realizar ataques DDoS contra site russos;
• Em 20/07 um relatório da Mandiant destacou uma campanha de phishing contra organizações ucranianas usando como tema documentos de caráter humanitário e sobre evacuação. Essa operação, atribuída aos grupos UNC1151 e UNC2589, usando o backdoor GRIMPLANT e o infostealer GRAPHSTEEL;
• No dia 21/07 a operadora de rádio ucraniana TAVR Media foi invadida e divulgou notícias falsas de que o presidente ucraniano, Volodymyr Zelenskyy, tinha se ferido severamente;
• Em 16/08 a empresa estatal de energia nuclear da Ucrânia, Energoatom, disse que um grupo de hackers russos lançou um grande ciber ataque em seu site que durou 3 horas;
• Em 26/07 a cidade de Kherson, na Ucrânia, ficou sem Internet por várias horas em um momento em que as forças ucranianas estavam tentando retomar a cidade, ocupada pela Rússia;
• Em 30/08 a plataforma de streamming russa Start sofre um vazamento de dados, expondo informações de aproximadamente 44 milhões de clientes;
• Olha a treta... em 30/08 o grupo Gamaredon (pró-Rússia) tentou realizar um ciber ataque e invadir uma grande refinaria de petróleo em um país da OTAN;
• Em 01/09 hackers do grupo Anonymous criaram um enorme congestionamento em Moscou ao solicitar dezenas de taxis para o mesmo lugar, através do app Yandex;
• Em 02/09 a maior empresas de taxis da Rússia foi atacada e todos os taxis foram direcionados para o centro de Moscow, causando um grande engarrafamento;
• Em 15/09 o Talos divulgou um relatório informando que o grupo russo Gamaredon estava realizando uma campanha de phishing direcionada a funcionários do governo ucraniano, utilizando um malware customizado para roubo de dados;
• Em 26/09 o governo da Ucrânia acusou a Rússia de orquestrar um ciber ataque massivo contra a infraestrutura crítica do país, principalmente o setor de energia;
• Em 05/10 foi anunciado que o grupo russo Killnet derrubou diversos sites de governos estaduais nos EUA, incluindo Colorado, Kentucky e Mississippi;
• Em 10/10 diversos aeroportos americanos sofreram ataques de DDoS em seus sites, realizados pelo grupo Killnet;
• Entre 10 e 12/10, o grupo russo Sandworm (UNC3810) realizou um ataque destrutivo contra uma instalação elétrica na Ucrânia, que coincidiu com um ataque de mísseis na mesma região. Os sistemas de operação e ICS (industrial control system) da empresa foram comprometidos anteriormente por uma variante do malware CaddyWiper;
• Em 14/10 pesquisadores da Microsoft alertaram sobre um novo ransomware atacando empresas na Ucrânia e Polônia, batizado de "Prestige";
• Em 15/10 sites do governo da Bulgária sofreram ataques DDoS realizados pelo grupo Killnet;
• No dia 03/11 hacktivistas da Ucrânia publicaram uma pasta com 27 mil documentos (2,6 GB) supostamente roubados do Banco Central da Rússia;
• Em 07/11 o grupo Killnet alegou ter derrubado sites dos governos da Estonia, Polônia, Romênia, Bulgária e Moldávia;
• Desde 21/11 diversas organizações ucranianas foram atacadas pelo Ransomware RansomBoggs, originário da Rússia;
• Em 01/12 foi identificado o malware CryWiper, do tipo wiper, atacando agencias governamentais russas. O interessante é que o malware se faz passar por um ransomware, pedindo resgate para a vítima - mas mesmo com o pagamento, os dados são apagados;
• Em 06/12 o banco número 2 da Rússia, VTB, foi atingido pelo maior ataque cibernético de sua história, o que causou dificuldades temporárias no acesso a seu aplicativo móvel e site;
• Em 08/12 foi noticiado e divulgado pelo CERT-UA que órgãos de governo da Ucrânia e a ferrovia governamental foram vítimas de ataque de phishing que distribuía o malware DolphinCape;
• Em 09/12 um relatório da Checkpoint divulgou uma operação de ciber-espionagem contra a Rússia e Belorrúsia realizado por um ator chamado Cloud Atlas;  
• Em 15/12 a Mandiant divulgou que descobriu uma operação contra órgãos de governo da Ucrânia usando um instalador do sistema operacional Windows 10 infectados com trojans, distribuído em um popular site ucraniano;
• Em 21/12 foi noticiado que policiais ucranianos desmantelaram mais de uma dúzia de "fazendas de bots" que estavam ativas dentro do país, espalhando propaganda russa por meio de mais de 1,5 milhão de contas falsas;
• Em 22/12 o CERT da Ucrânia alertou sobre uma campanha de phishing direcionada aos usuários do sistema online de monitoramento da situação da guerra utilizado pelas autoridades do país, batizado de "Delta";
• Em 05/01/23 a Mandiant relatou uma operação direcionada a Ucrânia, batizada de Turla, que usou um malware antigo, Andromeda;
• Em 07/01 o governo da Moldávia (que tem apoiado a Ucrânia) foi alvo de diversos ataques de phishing;
• No dia 07/01 um grupo hacker conhecido como Cold River criou páginas de login falsas para três instalações nucleares e as enviou por e-mail a cientistas, na esperança de que revelassem suas senhas;
• Em 11/01 foi descoberta uma campanha de phishing no Telegram direcionada a cidadãos russos, explorando o receio deles serem convocados para a guerra;
• Em 25 de janeiro a ESET descobriu um novo ataque cibernético contra a Ucrânia do grupo Sandworm, utilizando um novo wiper batizado de SwiftSlicer, que explora a Diretiva de Grupo do Active Directory;
• Em 31/01 a ESET divulgou que o grupo Sandworm, afiliado à Rússia, usou novo malware wiper chamada NikoWiper como parte de um ataque ocorrido em outubro de 2022 visando uma empresa do setor de energia na Ucrânia. O ciber ataque coincidiu com ataques de mísseis orquestrados pelas forças armadas russas destinadas à infraestrutura de energia ucraniana;
• Em 01/02 o CERT-UA em parceria com o CERT da Polônia divulgaram detalhes de uma nova campanha maliciosa do grupo Winter Vivern direcionada às autoridades dos dois países;
• No dia 02/02 o Centro Estatal de Proteção Cibernética (SCPC) da Ucrânia informou que o grupo Gamaredon, patrocinado pelo estado russo, estava usando os spywares GammaLoad e GammaSteel em suas campanhas direcionadas a autoridades públicas e infraestrutura de informações críticas no país;
• Em 08/02 o CERT  da Ucrânia (CERT-UA) emitiu um alerta sobre uma campanha massiva de phishing contra autoridades estaduais do país que implantam um software legítimo de acesso remoto chamado Remcos;
• Também em 08/02 a Symantec identificou que o grupo Nodaria, vinculado à Rússia, estava implantando um novo malware chamado Graphiron , usado para roubo de informações em ataques cibernéticos direcionados à Ucrânia;
• Em 23/02 o CERT-UA informou que hackers russos invadiram diversos sites governamentais graças a backdoors que foram implantados desde Dezembro de 2021;
• Em 30/03 foi noticiado que hackers do grupo Winter Vivern exploraram uma falha no Zimbra para acessar e-mails de oficiais da OTAN (NATO) dese fevereiro;
• Em 06/04, hackers do grupo Cyber Resistence Group invadiram a conta de um blogueiro pró-Rússia no AliExpress e gastaram seus 25 mil dólares em compras de brinquedos sexuais. O blogueiro pretendia usar seu dinheiro para comprar drones chineses e doar para o exército russo;
• Em 13/04 autoridades da Polônia alertaram sobre uma campanha ativa de ciberespionagem do grupo APT29 (Cozy Bear) contra países da NATO e União Européia;
• Em 29/04 o CERT-UA publicou um alerta sobre uma nova campanha do grupo Sandworm, direcionado às redes estatais ucranianas, onde o um script batizado de RoarBAT utilizou o  WinRar para destruir dados em dispositivos infectados. Os hackers russos usaram contas VPN comprometidas que não estavam protegidas com autenticação multifator para acessar sistemas críticos nas redes estatais ucranianas;
• Em 30/04 o CERT-UA alertou sobre uma campanha de phising direcionada a vários órgãos de governo, supostamente com instruções para atualizar os computadores Windows contra ciberataques. As instruções orientavam a vítima a realizar um comando em Powershell que, na verdade, faria o download de um código malicioso. A campanha possivelmente foi orquestrada pelo grupo Fancy Bear;
• Em 08 de junho, hackers pró-Ucrânia do grupo Cyber Anarchy Squad interromperam os serviços bancários russos depois de atacar uma importante operadora de telecomunicações que fornece serviços para organizações russas, a JSC Infotel;
• Em 13/06 foi descoberta uma campanha de phishing contra jogadores russos da plataforma de jogos online Enlisted. A campanha direcionava as vítimas para uma página falsa usada para distribuir ransomware;
• Em 20/06 o grupo APT28 (também conhecido como Fancy Bear e vinculado à Direção Geral de Inteligência (GRU) do Estado-Maior da Rússia) invadiu os servidores de e-mail Roundcube pertencentes a várias organizações ucranianas, incluindo entidades governamentais. Nesses ataques, o grupo usou as notícias sobre o conflito em andamento entre a Rússia e a Ucrânia para induzir os destinatários a abrir e-mails maliciosos que explorariam as vulnerabilidades do Roundcube Webmail. O objetivo da campanha era colher e roubar inteligência militar para apoiar a invasão da Ucrânia pela Rússia;
• Em 29 de junho, um grupo de hackers até então desconhecidos reivindicou a responsabilidade por um ataque cibernético ao provedor russo de comunicações por satélite Dozor-Teleport, usado por empresas de energia e pelos serviços de defesa e segurança do país (veja discussão sobre autoria do ataque);
• Em 05/julho hackers ucranianos anunciaram que paralisaram as operações da companhia estatal de trens russa RZD, forçando os passageiros a comprar bilhetes apenas nas estações físicas;
• Em 12/07 foi noticiado que o grupo APT29, patrocinado pelo estado russo, tem usado iscas não convencionais, como anúncios de carros de luxo, para induzir diplomatas na Ucrânia a clicar em links maliciosos que fornecem malware. Segundo os pesquisadores da Unit 42, esta campanha teve como alvo pelo menos 22 das 80 missões estrangeiras em Kiev, incluindo as dos Estados Unidos, Canadá, Turquia, Espanha, Holanda, Grécia, Estônia e Dinamarca. No entanto, a taxa de infecção permanece desconhecida.

• Em 13/07 o CERT-UA noticiou que o grupo russo Armageddon (ou Gamaredon) realizou ataques contra milhares de computadores governamentais;
• Em 18/07 o CERT-UA informou que grupo de hackers russo Turla está atacando as forças de defesa ucranianas com malware de espionagem, os spywares Capibar e Kazuar;
• Em 07/08, Um grupo de hackers pró-ucraniano publicou uma mensagem no site do registro municipal de propriedades de Moscou, MosgorBTI, anunciaando que as bases de dados do registo foram destruídas e que eles tiveram acesso a todos os dados sobre os locais de residência e propriedades dos habitantes da capital russa;
• Em 08/08 os serviços de segurança da Ucrânia reportatam que conseguiram prevenir um ataque de hackers do grupo Sandworm, apoiadores da Rússia, contra o sistema de gestão do campo de batalha utilizado pelos militares ucranianos. O alvo inicial eram os tablets Android utilizados pelos soldados, contra os quais foram desenvolvidos sete novos malwares stealers (batizados de NETD, TOR, DROPBEAR, DEBLIND e STL);
• Em 09/08 o grupo hacker pró-rússia NoName057(16) realizou uma série de ataques a websites franceses e holandeses;
• Em 17/08 o meio de comunicação russo RIA Novosti publicou uma reportagem trazendo uma mensagem urgente do ator americano John McGinley ao presidente ucraniano Volodymyr Zelensky, pedindo que ele buscasse tratamento contra o abuso de drogas. O vídeo fooi fruto de uma operação ds propagandistas do Kremlin, que enganaram meia dúzia de celebridades para que gravassem vídeos instando o presidente da Ucrânia a procurar tratamento para o abuso de substâncias ilegais;
• Em 21/08, hackers ucranianos do grupo Cyber Resistance afirmam ter invadido a conta de e-mail de Alexander Babakov, vice-presidente do parlamento russo, expondo documentos que supostamente provam seu envolvimento em esquemas de lavagem de dinheiro e evasão das sanções importas ao país. O grupo vazou 11 GB de e-mails que incluem digitalizações do passaporte, documentos fiscais e financeiros de Babakov, além de seus registros médicos;
• Em 24/08, o dia da independência da Ucrânia, hackers ucranianos hackearam câmeras de vigilância por toda a Rússia e divulgaram mensagem de orgulho Ucraniano e o hino da Ucrânia nos autofalantes embutidos nesses equipamentos;
• Em 29/08 surgiram notícias de uma grande campanha de desinformação russa através de artigos falsos em nome do The Washington Post e Fox News;
• Em 31/08 um relatório do Centro Nacional de Coordenação para Segurança Cibernética da Ucrânia (NCCC) apontou que o grupo Gamaredon, apoiado por Moscow, está intensificando os seus ataques às agências militares e governamentais da Ucrânia, no meio da tão esperada contra-ofensiva do país;
• Em 05/09, o CERT-UA alertou que o grupo Fancy Bear tentou realizar um ciberataque a uma instalação crítica de energia do país, através de ataques de phishing para tentar obter acesso inicial à vítima;
• Em 25/09, a empresa Securonix divulgou um relatório sobre uma campanha direcionada aos militares ucranianos, utilizando PDFs disfarçados como manuais de drones e contaminados com o malware MerlinAgent. A campanha, realizada pelo grupo UAC-0154, foi batizada de STARK#VORTEX;
• Em 28/09 o grupo hacktivista ucraniano IT Army assumiu a responsabilidade por um ataque DDoS "massivo" que causou a interrupção do Leonardo., um sistema de reservas aéreas utilizada por empresas russas. O incidente durou cerca de uma hora e afetou a operação de várias transportadoras aéreas russas, incluindo a Rossiya Airlines, Pobeda e a principal companhia aérea do país, a Aeroflot;
• Em 15/10, um comunicado do CERT-UA alertou que o grupo hacker russo Sandwork comprometeu 11 provedores de telecomunicações no país entre maio e setembro de 2023, utilizando dois backdoors batizados de Poemgate e Poseidon;
• Em 17/11 foi divulgada uma campanha recente contra agências governamentais da Ucrânia pelo grupo UAC-0050, através e phishing e usando uma ferramenta familiar de vigilância, chamada Remcos;
• Em 27/11 foi anunciado que, após uma complexa operação especial bem sucedida, a Direcção Principal de Inteligência do Ministério da Defesa da Ucrânia invadiu e obteve uma quantidade significativa de documentos confidenciais da Rosaviatsiya, a Agência Federal de Transporte Aéreo da Rússia;
• Em 07/12 Ativistas da oposição na Rússia lançaram uma campanha contra o presidente Vladimir Putin, usando códigos QR aparentemente inocentes colocados em outdoors nas maiores cidades da Rússia, que levaram ao site “Rússia sem Putin”. Os outdoors apresentavam frases como “Feliz Ano Novo, Rússia” e “Rússia, com certeza tudo vai dar certo”;
• Em 12/12 foi noticiado que a Unidade cibernética da Inteligência de Defesa da Ucrânia atacou o sistema tributário da Rússia e conseguiu destruir todo o banco de dados e suas cópias de segurança. Mesmo após 4 dias de tentativas de recuperar os sistemas, a inteligência ucraniane acredita que a Rússia não será capaz de ressuscitar totalmente o seu sistema fiscal;
• Em 12/12. o grupo hacktivista Solntsepyok, ligado à Rússia, realizou um ciberataque contra a maior operadora de rede celular da Ucrânia, Kyivstar, deixando 25 milhões de clientes domésticos e de celular sem acesso à Internet. Todos os sistemas da rede central da empresa foram apagados. Hackers do grupo Solntsepek (ligado ao grupo de hackers militares russos Sandworm) assumiram a autoria do ataque e disseram que limparam 10 mil computadores e milhares de servidores na rede da Kyivstar. Segundo autoridades ucranianas, os atacantes invadiram a empresa em Maio, e assim, permaneceram infiltrados na rede da empresa por vários meses;;
• Entre 15 e 25/12, o grupo Fancy Bear realizou uma campanha de Phishing contra organizações ucranianas e polonesas que levavam ao download do malware Masepie;
• Em 20/12, o grupo IT Army da Ucrânia alegou ter interrompido as operações do Bitrix24, um provedor russo de serviços de gerenciamento de relacionamento com o cliente (CRM);
• Também em 20/12, a Rosvodokanal, empresa russa de abastecimento de água, sofreu um suposto ataque cibernético realizado pelo grupo ucraniano Blackjack. O grupo atacou mais de 6.000 computadores e apagou mais de 50 terabytes de dados, incluindo arquivos de backup, correspondência e documentos internos;
• Em 21/12 o grupo conhecido como Cloud Atlas utilizou mensagens de phishing para atacar uma empresa agroindustrial russa e uma empresa estatal de pesquisa;
• Em 22/12 o ator de ameaças conhecido como UAC-0099 foi associado a ataques contínuos direcionados à Ucrânia, utilizando mensagens de phishing para entregar o malware LONEPAGE. Foram identificadas três diferentes estratégias de infecções, usando arquivos HTA, arquivos autoextraíveis (SFX) e arquivos ZIP infectados, que exploram a vulnerabilidade do WinRAR CVE-2023-38831;
• Em 02/01/2024, autoridades Ucranianas desligaram duas câmeras de vigilância que, segundo eles, foram invadidas pela Russia para espionar as forças de defesa e infraestrutura crítica de Kiev, ajudando a direcionar ataques de mísseis;
• Segundo notícia divulgada em 03/01, um morador da cidade de Veliky Novgorod, na Russia, foi preso pois sua cortina de led, usada na decoração de natal de seu apartamento, estava exibindo mensagens pró-Ucrânia. Segundo o pesquisador AlexGyver, o código-fonte do firmware da cortina de led foi hackeado, de forma a mostrar determinadas mensagens no dia 01 de janeiro, exclusivamente para moradores da Rússia;
• Em 09/01 o grupo de hackers ucranianos Kiborg publicou em sua página web toda a base de dados da entidade bancária russa Alfa Bank, o maior banco privado da Federação Russa, expondo os dados pessoais de 38 milhões de clientes;
• Em 11/01, o grupo de hacktivistas pró-Ucrânia ‘Blackjack’ reivindicou um ataque cibernético contra o provedor russo de serviços de internet M9com, como uma resposta direta ao ataque contra a operadora móvel ucraniana Kyivstar;
• Entre 22 e 23/01, a cidade de Liviv sofreu um blackout em função de um ciberataque Russo usando o malware FrostyGoop. Esse malware foi usado em um ataque contra a distribuidora de energia Lvivteploenergo, que tem sede na cidade de Lviv - na Ucrânia, o que resultou em 600 residências sem aquecimento em pleno inverno. De acordo com relatos da mídia local na época, a interrupção afetou moradores do distrito de Sykhiv, onde vivem cerca de 100.000 pessoas. A Dragos descobriu o FrostyGoop em abril de 2024. O malware é compilado para sistemas Windows e não foi detectável por fornecedores de antivírus, disseram os pesquisadores. O FrostyGoop é o primeiro malware que usa o protocolo Modbus, usado para transmitir dados entre sistemas de automação industrial, para interromper sistemas que controlam dispositivos físicos;
• Em 26/01, hacktivistas pró-Ucrânia invadiram um centro de pesquisas espaciais russo, o Russian Center for Space Hydrometeorology (conhecido como "planeta") e destruítam 2 petabytes de informações;
• Em 31/01 o CERT-UA relatou que o Malware PurpleFox infectou pelo menos 2 mil computadores no país, um malware voltado para sistemas Windows;
• Em 04/03 o governo ucraniano informou que seu time de inteligência (The Main Intelligence Directorate / GUR) invadiu os servidores do Ministério da Defesa russo (Minoborony), roubando diversos documentos secretos;
• Em 26/03 alguns coletivos hacktivistas russos, como o Sapphire Clan, iniciaram uma série de ataques DDoS contra sites da Ucrânia em resposta ao ataque terrorista realizado em Moscow em 22 de março;

• Em 15/04 a Claroty anunciou a descobreta do Fuxnet, um malware usado pela Ucrânia conrta a infraestrutura da empresa Noscollector, responsável pelo infraestrutura de água, esgoto e comunicação de Moscow;
• Em 22/04 o CERT-UA alertou que o grupo hacker russo Sandworm tentou interromper as operações de cerca de 20 instalações de infraestrutura crítica na Ucrânia;
• Em 26/04, a agência de inteligência da Ucrânia (GUR) realizou um ciberataque contra o principal partido político da Rússia, United Russia, tornando o site parcialmente inacessível;
• Em 04/06 a Fortinet identificou uma camoanha contra alvos ucranianos, utilizando um um arquivo Microsoft Excel que contém uma macro VBA com o objetivo de implementar o Cobalt Strike e assumir o controle dos hosts comprometidos;
• Em 06/06, hackers russos do grupo NoName atacaram o website da empresa espanhola Santa Barbara Systems, que está envolvida na modernização de tanques Leopard que serão enviados ao exército ucraniano;
• Em 27/06 provedores de telecomunicações na Criméia ficaram fora do ar devido a ataques de DDoS, que foram realizados pela unidade de inteligência militar da Ucrânia;
• Em 07/10, a empresa estatal de mídia russa VGTRK, que opera as principais estações de TV do país, foi alvo de um ataque cibernético reivindicado por um grupo anônimo de hackers pró-Ucrânia.  A ofensiva, que suspendeu as transmissões ao vivo dos canais de TV Rossiya 1 e Rossiya 24, foi deflagrada no dia do aniversário do presidente da Rússia, Vladimir Putin. O site da VGTRK também não estava carregando pela manhã. (NOVO)

Além dos ataques acima, alguns outros casos merecem destaque:

• Entre março e abril de 2023 surgiram notícias sobre dois vazamentos de dados de ambos os lados, aparentemente expondo informações sigilosas sobre o conflito. O primeiro incidente, em março, foi batizado de "Vulkan files" e envolveu o vazamento de documentos com planos russos. Em Abril, arquivos militares altamente confidenciais do Pentágono supostamente foram compartilhados em um fórum no Discord, exibindo táticas e detalhes sobre a guerra e informações sobre as tropas ucranianas. Fotos dos documentos trazem informações sobre as tropas ucranianas, estimativas de baixas, planos para uma suposta contra-ofensiva, informações sobre vigilância e espionagem dos EUA, entre outros. Também há suspeitas de que os documentos vazados façam parte de campanhas de desinformação;
• Em 21/03/2023 a Kaspersky divulgou que em Outubro de 2022 diversas organizações do governo e dos setores de transporte e agricultura nas regiões da Criméia, Donetsk e Lugansk foram alvos de uma campanha de phishing para distribuir o backdoor PowerMagic;
• Em 13/07/2023 pesquisadores do CISCO Talos divulgaram um estudo sobre uma campanha maliciosa direcionada a alvos na Ucrânia e Polônia, ativa desde Abril de 2022 e atribuída ao grupo UNC1151 (GhostWreiter), ligado a Bielorússia.

O portal Data Breach Today também fez um resumo dos 4 primeiros meses do conflito entre Rússia e Ucrânia: Major Takeaways: Cyber Operations During Russia-Ukraine War.

A lista acima é apenas a "ponta do iceberg", registrada por mim. Diversos ataques de phishing contra a população ou autoridades governamentais também já foram reportados. Atém disso, o relatório sobre ataques DDoS no 2o trimestre de 2022 da CloudFlare destacou que as empresas de comunicação foram as mais atacadas na Ucrânia, enquanto na Rússia as mais atacadas foram as empresas do setor financeiro (e as de comunicação estão em 3o lugar).

A Mandiant publicou uma lista de campanhas de phishing realizadas pela Rússia:

Um grupo de estudos do parlamento Europeu produziu um levantamento dos ciber ataques realizados contra a Ucrânia até maio de 2022, incluindo os ciber ataques realizados antes do conflito.

Até o final de Junho de 2022 já haviam sido registrados 796 ataques cibernéticos contra a Ucrânia nesses 4 meses desde o início do conflito, em 24/02, segundo informações divulgadas pelo Serviço do Estado de Comunicações Especiais e Proteção de Informação da Ucrânia (ou SSSCIP - sigla em inglês para State Service of Special Communications and Information Protection). Além disso, o Microsoft Threat Intelligence Center (MSTIC) identificou tentativas de ciber ataques partindo de redes russas direcionadas a 128 alvos em 42 países, sem contar a própria Ucrânia.

As informações da SSSCIP também permitiram associar alguns ciber ataques a operações militares Russas no campo de batalha física.

Segundo depoimento do Victor Zhora, responsável pelo State Special Communications Service da Ucrânia, entre o início da guerra e início de Agosto, o país já tinha identificado mais de 1.600 ciber ataques.

Segundo o Serviço de Segurança da Ucrânia, foram bloqueados com sucesso mais de 4.500 ataques cibernéticos em 2022, número três vezes maior do que no ano passado e um aumento de cinco vezes desde 2020, quando apenas 800 ataques cibernéticos foram documentados. Segundo a SSSCIP, até Dezembro de 2022 mais de 2.100 incidentes foram tratados pelo CERT da Ucrânia (CERT-UA), com ataques prioritariamente contra a infraestrutura civil, em vez de militar.

Em dezembro de 2022, segundo a SSSCIP, foram bloqueados 395 ataques DDoS "de alto nível" e identificadas, e bloqueadas, 170.000 tentativas de exploração de vulnerabilidades. Também foram identificados 7 novos tipos de malwares e vírus em 2022.

Segundo o Grupo de Análise de Ameaças do Google, 60% de todos os e-mails de phishing direcionados à Ucrânia no primeiro trimestre de 2023 se originaram de agentes de ameaças russos, destacando o APT28 como um dos principais contribuintes para essa atividade maliciosa.

O Relatório de Defesa Digital 2023 da Microsoft, que analisou os ciberataques no período entre julho de 2022 e junho de 2023, apontou a Ucrânia, Israel, Coreia do Sul e Taiwan no topo da lista dos países mais visados. Ao falar sobre o o conflito da Rússia com a Ucrânia, o relatório destacou que quase 50% dos ataques destrutivos russos contra redes ucranianas ocorreram nas primeiras seis semanas da guerra. O relatório também destaca que, embora a maioria dos ciberataques realizados pela Rússia e seus afiliados desde Julho de 2022 tenham sido dirigidas contra organizações ucranianas (48%), mais de um terço foram dirigidas contra organizações em países membros da OTAN.

Com tudo isso acontecendo, tivemos a oportunidade de ver uma participação sem precedentes de pessoas, organizações civis e grupos hacktivistas no cenário da guerra. Principalmente no caso da Ucrânia, diversos ciber ativistas e hacktivistas passaram a buscar diversas formas de apoiar o país e sua população, tais como:

• protestos online contra a guerra;
• grupos de hacktivistas se organizando, via Telegram, para apoiar o governo Ucraniano e buscar formas de impactar o esforço de guerra russo;
• captação de doações para a Ucrânia, em criptomoedas;
• fornecimento de equipamentos de Internet, para permitir o acesso a rede Starlink, de Internet via satélite;
• algumas empresas de segurança oferecendo produtos e serviços gratuitamente para o governo da Ucrânia e empresas locais;
• surgimento de um "programa de bug bounty", oferecendo recompensas para quem indicar fragilidades na infra-estrutura russa;
• envio de criptomoedas para apoiar os esforços de guerra e a população afetada pelo conflito.

No meio disso tudo, os fraudadores também não perdem tempo. Foi noticiado pelo FBI que golpistas se passam por organizações legítimas de ajuda humanitária ucraniana para coletar doações sob pretexto de ajudar refugiados ucranianos e vítimas da guerra. No final de Junho, as autoridades policiais da Ucrânia prenderam 9 integrantes de um grupo que desviou 100 milhões de hryvnias por meio de centenas de sites de phishing que alegavam oferecer assistência financeira a cidadãos ucranianos. Os criminosos criaram mais de 400 links de phishing para obter dados de cartões bancários das vítimas.

O diagrama abaixo, preparado pelo pessoal da Curated Intelligence, resume quais são os principais grupos hacktivistas e ciber criminosos que se envolveram no conflito cibernético:

Outros países estão tomando partido, direta ou indiretamente, na base da ameaça ou na real. O governo americano tem ameaçado responder a invasão da Ucrânia com ciber ataques contra a Rússia, como parte das medidas de sanções. Em outro movimento, hackers do grupo UNC1151, ligados ao governo da Bielorrúsia, tentaram invadir os e-mails de militares da Ucrânia, segundo o CERT da Ucrânia (CERT-UA).

É claro que as empresas de todo o mundo tem medo de sofrer ciber ataques por grupos relacionados a guerra. Segundo dois alertas emitidos recentemente pela CISA (AA22-011A) e AA22-047A), os ataques de grupos russos são baseados, principalmente, na obtenção de acesso remoto à rede da vítima através de ataques de spear phishing e do uso de credenciais vazadas, ou através de ataques de força bruta contra equipamentos e dispositivos de acesso remoto ou aplicações expostas na Internet. Entre os alvos preferidos, estão os equipamentos FortiGate, CISCO e Big-IP (da F5 Networks), além das ferramentas Citrix, VMWare, Oracle Web Server e Weblogic, e Microsoft Exchange.

A Trellix fez um quadro resumindo os principais grupos e técnicas de ataque utilizados contra a Ucrânia:

Até 01/04, já haviam sido identificados 7 malwares wiper utilizados em ciber ataques contra empresas e órgãos de governo da Ucrânia, incluindo o WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, DoubleZero e o AcidRain.

Segue abaixo alguns dos malwares envolvidos nos ciber ataques mais relevantes no conflito, em ordem alfabética: (veja o PS/2 desse post e veja aqui os IOCs desses malwares)

• AcidRain (Sentinelone)
• Andromeda (Mandiant)
• BEACON e MICROBACKDOOR (Mandiant)
• CaddyWiper / Win32/KillDisk.NCX (ESET)
• Campanha "Cloaked Ursa" (Unit-42)
• CAPIBAR e KAZUAR (CERT-UA#6981)
• Cloud Atlas (Checkpoint)
• Corona (CISCO Talos) (IOCs)
• CryWiper (usado para atacar alvos russos) (imprensa)
• Cyclops Blink (NCSC/UK)
• Dark Crystal RAT (DCRat) (Fortinet e CERT-UA)
• DolphinCape (CERT-UA)
• DoubleZero (CISCO Talos e CERT-UA)
• FrostyGoop (Dragos)
• Fuxnet (Claroty) (*)
• GammaLoad, GammaSteel (CERT-UA)
• Graphiron (Symantec)
• GRIMPLANT e GRAPHSTEEL (Mandiant / US Cyber Command / CERT-UA)
• HermeticWiper / KillDisk.NCV (descoberto pela ESET)
• Infamous Chisel (NCSC)
• IsaacWiper / Win32/KillMBR (ESET)
• Liberator / Disbalancer.exe (CISCO Talos)
• LittleDrifter (Checkpoint)
• LONEPAGE (Deep Instinct)
• MASEPIE (CERT-UA)
• MerlinAgent (Securonix)
• NikoWiper (ESET)
• Poemgate e Poseidon (CERT-UA)
• PowerMagic e CommonMagic (Kaspersky)
• Prestige (The Record e Microsoft)
• PseudoSteel (CERT-UA)
• PurpleFox (CERT-UA)
• RansomBoggs (ESET)
• RoarBAT (CERT-UA)
• SwiftSlicer (ESET)
• "Trojanized Windows 10 Installer" (Mandiant)
• WhisperGate e WhisperKill (divulgados pela Microsoft, CERT-UA, Secureworks e CISCO Talos)
• Winter Vivern (CERT-UA)

OBS: 

1. Na lista acima, eu optei por manter os wipers WhisperGate e WhisperKill juntos pois eu entendi que eles participaram da mesma cadeia de ataque, conforme descrito nos relatórios do CERT.UA e do pessoal do CISCO Talos.
2. Na lista acima merece destaque o CryWiper, um malware wiper descoberto em Dezembro de 2022 que finge ser um ransomware (chega a pedir resgate para as vítimas!) e, diferente dos demais, é direcionado a atacar empresas russas.
3. O malware que eu identifiquei acima como Winter Vivern na verdade não teve um nome específico report original do CERT-UA. Por isso, optei por identificar esse caso com o nome do grupo responsável pelo ataque.
4. A ESET construiu um excelente timeline com os ataques wiper realizados contra a Ucrânia no primeiro ano do conflito;
5. Na falta de nomenclatura apropriada, eu acabei escolhendo alguns nomes para identificar algumas das campanhas acima (que não foram "batizadas" nos relatórios iniciais). O malware que eu identifiquei acima como Winter Vivern na verdade não teve um nome específico no report original do CERT-UA. Por isso, optei por identificar esse caso com o nome do grupo responsável pelo ataque. Isso também aconteceu com as campanhas que listei acima com os nomes de "Cloaked Ursa" e Corona;
6. O(s) malware(s) usados pela Ucrânia contra a Rússia estão indicados por um (*).

A CISA emitiu um alerta em 26/02 (AA22-057A) que detalha melhor esses malwares e traz vários indicadores (IOCs) a mais sobre o HermeticWiper - alguns dos quais eu atualizei na lista acima.

Segundo a SSSCIP, a Mandiant, o Google e a Microsoft, os grupos hacker mais ativos no ciber conflito na Ucrânia são (em ordem alfabética) (a maioria são pró-Rússia, exceto quando indicado ao contrário):

• Armageddon / Gamaredon (UAC-0010)
• Cadet Blizzard / DEV-0586
• Callisto Group
• Cloud Atlas / Inception (pró-Ucrânia)
• Cozy Bear / Nobelium / APT29 (UAC-0029)
• CyberArmyOfRussia_Reborn
• Fancy Bear / FrozenLake / BlueDelta / Sednit / Sofacy / APT28 (UAC-0028)
• Ghostwriter (UNC1151)
• Killnet
• Nodaria / DEV-0586 (UNC2589) (UAC-0056)
• Pushcha
• NoName057(16)
• Sandworm / Voodoo Bear / FrozenBarents (UAC-0082)
• Turla / Venomous Bear (UAC-0024, UAC-0003)
• UAC-0050
• Winter Vivern / TA473 (UAC-0114)
• XakNet
• Z-Team

OBS: Na lista acima, originalmente retirada de reports da SSSCIP e Mandiant, também incluí o grupo Winter Vivern, reportado pelo CERT-UA.

OBS 2: Segundo essa reportagem do The Record, o grupo Armageddon opera a partir da península da Criméia e segue ordens do serviço secreto russo (FSB). O grupo teria surgido exclusivamente para conduzir ataques contra a Ucrânia, principalmente de ciber espionagem.

Essa pequena reportagem da BBC News (A guerra cibernética entre hackers de Rússia e Ucrânia) fala sobre o perfil dos atores (hackers e hacktivistas) envolvidos na guerra cibernética:

A Mandiant fez um infográfico com as principais operações de guerra cibernética realizadas pela Rússia em 2022:

O pessoal do Internet Storm Center (ISC), do SANS, fez um webcast bem interessante em 25/02 sobre os ciber ataques e as táticas utilizadas pela Rússia:

Com o decorrer da guerra, começou a surgir um debate muito interessante, do ponto de vista da privacidade e segurança cibernética, sobre como o uso excessivo e irresponsável das redes sociais podem acabar facilitando o acesso a informações estratégicas para o exército inimigo. Houve um caso simbólico em um ataque realizado pelas forças militares russas em 14 de março. Neste dia, o exército russo bombardeou uma base militar da Ucrânia na cidade de Yavoriv (mais informações aqui também), perto da fronteira com a Polônia. A base foi destruída e há relatos de pelo menos 35 mortos. Esta base, chamada de Centro para a Manutenção da Paz e Segurança internacional , estava sendo usada para receber e treinar pessoas de outos países que se voluntariaram a fazer parte do exército Ucraniano, numa espécie de "legião estrangeira de voluntários", a maioria ex-militares de diversos países ao redor do mundo. Especula-se que o ataque foi possível graças a espiões russos infiltrados entre os voluntários ou, simplesmente, pois voluntários brasileiros estavam postando fotos nas redes sociais indicando sua localização !!!

O conflito tem causado diversas sanções Econômicas contra a Rússia, na tentativa de conter a agressão. A indústria de segurança, em particular, não passou ilesa: após a Alemanha recomendar que as empresas desinstalem os produtos da Kaspersky, no final de Maio foi a vez dos EUA banirem completamente o uso de produtos da Kaspersky em todo o território nacional, graças à uma decisão da Federal Communications Commission (FCC) que categorizou a empresa como "um risco inaceitável" à segurança do país.

Uma pesquisa da empresa americana Venafi com mais de 1.100 executivos de segurança em todo o mundo mostrou que as empresas estão preocupadas com a guerra cibernética na Ucrânia e seus impactos: (adicionado em 30/08):

• O conflito entre a Rússia e a Ucrânia causou mudanças na estratégia de segurança cibernética em 66% das organizações entrevistadas;
• 64% dos executivos suspeitam que sua organização tenha sido diretamente visada ou impactada por um ataque cibernético de um estado-nação;
• Mais de dois terços (68%) tiveram conversas com o conselho e com a alta administração em resposta ao conflito entre a Rússia e Ucrânia;
• 63% duvidam que saberiam se sua organização foi hackeada por um estado-nação.

Em Julho de 2023, quando o conflito já passou da marca de 500 dias, especialistas indicaram que o volume de ciberataques contra a Ucrânia tem aumentado, na medida que acontece a contra-ofensiva do país no campo de batalha. Os ciberataques de hacktivistas, cibercriminosos patrióticos e até mesmo mercenários pró-rússia tem atingido até mesmo países que apoiam a Ucrânia e a Finlandia, que recentemente entrou para a OTAN. O CERT-UA tratou com 701 incidentes entre janeiro e abril de 2023, com os serviços públicos no centro dos ataques. Cerca de um quarto dos ataques foram direcionados a agências governamentais e militares, com muitos dos restantes visando a rede elétrica, finanças, transporte, telecomunicações e outros elementos da infraestrutura crítica da Ucrânia.

Ao rever a sua estratégia de ciberdefesa em setembro de 2023, o Pentágono destacou que “havia uma sensação de que o ciberespaço teria um impacto muito mais decisivo na guerra do que aquele que experimentámos. O que este conflito nos mostra é a importância das capacidades cibernéticas integradas e juntamente com outras capacidades de combate.”. Ou seja, estamos vendo na guerra da Ucrânia que, apesar do impacto relativamente limitado dos ciberataques no palco da guerra, sem dúvida eles representam um componente muito importante da estratégia militar de ambos os lados.

Para saber mais:

• Alguns dos posts já publicados aqui no blog:
• Cyber, Artilharia, Propaganda. Visão geral das dimensões da agressão russa
• Um ano de guerra (cibernética) na Ucrânia
• Indicadores dos ciber ataques durante o conflito entre a Russia e Ucrânia
• Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia
• A sua empresa na guerra cibernética entre a Rússia e Ucrânia
• Cronograma dos ciber ataques entre países
• Causos de Guerra Cibernética ("for real")
• Desde 2010 eu mantenho uma grande coletânea de referências sobre o tema nesse post: Guerra Cibernética
• Já tem artigo na Wikipedia: 2022 Ukraine cyberattacks
• Russian–Ukrainian cyberwarfare
• Ukraine power grid hack
• 2017 Ukraine ransomware attacks
• Informações no site da CISA:
• Russia Cyber Threat Overview and Advisories
• CISA Insights: Foreign Influence Operations Targeting Critical Infrastructure
• CISA Alert AA22-011A - Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure
• CISA Alert AA22-047A - Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology
• CISA Alert AA22-057A - Destructive Malware Targeting Organizations in Ukraine
• CISA Urges Increased Vigilance One Year After Russia's Invasion of Ukraine
• CISA and Partners Release Advisory on Russian SVR-affiliated Cyber Actors Exploiting CVE-2023-42793
• Defending OT Operations Against Ongoing Pro-Russia Hacktivist Activity (pdf)
• General Security Advisory: Understanding and preparing for cyber threats relating to tensions between Russia and Ukraine (NCSC / NZ)
• New Sandworm malware Cyclops Blink replaces VPNFilter
• Cyclops Blink Malware Analysis Report (NCSC/UK)
• List of Cybersecurity Resources for Ukraine
• Página no site do SOC Radar: Russia & Ukraine Cyberwar
• IOCs e informações de inteligência:
• Russia-Ukraine 2022 conflict related IOCs from CERT Orange Cyberdefense Threat Intelligence Datalake (GitHub)
• Talos on the developing situation in Ukraine (Talos Intelligence)
• Ukraine-Cyber-Operations (Curated Intelligence)
• A Cyber-Readiness Checklist and Guide (Fortinet)
• Wipers and worm in Ukraine — Indicators of Compromise (ESET)
• Responses to Russia's Invasion of Ukraine Likely to Spur Retaliation (Mandiant)
• Domains Linked to Phishing Attacks Targeting Ukraine (Secureworks)
• Lista de endereços IP que realizaram ataque DDoS à Russia: recomendações para proteger recursos de informação contra ataques de computador (em russo)
• Ukraine Campaign Delivers Defacement and Wipers, in Continued Escalation (Talos Intelligence)
• AcidRain | A Modem Wiper Rains Down on Europe (Sentinelone)
• Disruptive Attacks in Ukraine Likely Linked to Escalating Tensions (Secureworks)
• Monitoring cyber activities connected to the Russian-ukrainian conflict (Vedere Labs / Forescout)
• Return of Pseudo Ransomware (Trellix)
• Threat Advisory: DoubleZero (CISCO Talos Intelligence)
• Ukraine Targeted by Dark Crystal RAT (DCRat)
• US Cyber Command Says Malware Indicators Targeting Ukraine
• Cyber National Mission Force discloses IOCs from Ukrainian networks
• Evacuation and Humanitarian Documents used to Spear Phish Ukrainian Entities
• Disrupting SEABORGIUM’s ongoing phishing operations
• Gamaredon APT targets Ukrainian government agencies in new campaign (CISCO Talos Intelligence)
• Análise do malware Bobik: Pro-Russian Group Targeting Ukraine Supporters with DDoS Attacks (Avast)
• Overview of the 9 Distinct Data Wipers Used in the Ukraine War
• Trojanized Windows 10 Operating System Installers Targeted Ukrainian Government
• Cloud Atlas targets entities in Russia and Belarus amid the ongoing War in Ukraine
• Russia’s Trident Ursa (aka Gamaredon APT) Cyber Conflict Operations Unwavering Since Invasion of Ukraine
• Turla: A Galaxy of Opportunity
• RansomBoggs: New ransomware targeting Ukraine (artigo em português) (IOCs)
• DolphinCape Malware Detection: Phishing Campaign Against Ukrainian Railway Transport Organization of Ukraine “Ukrzaliznytsia” Related to the Use of Iranian Shahed-136 Drones
• Graphiron: New Russian Information Stealing Malware Deployed Against Ukraine
• UAC-0114 aka Winter Vivern to target Ukrainian and Polish GOV entities (CERT-UA#5909)
• New Russian-Backed Gamaredon's Spyware Variants Targeting Ukrainian Authorities (CERT-UA)
• Evacuation and Humanitarian Documents used to Spear Phish Ukrainian Entities
• Malicious campaigns target government, military and civilian entities in Ukraine, Poland
• Diplomats Beware: Cloaked Ursa Phishing With a Twist
• Securonix Threat Labs Security Advisory: New STARK#VORTEX Attack Campaign: Threat Actors Use Drone Manual Lures to Deliver MerlinAgent Payloads
• Intelligence Brief: Impact of FrostyGoop ICS Malware on Connected OT Systems
• Uma análise bem legal, com muitas referências: Conflito da Ucrânia e Operações Cibernéticas: Analistas de Todo o Mundo Fornecendo Informações
• Rússia e Ucrânia, uma guerra além das fronteiras
• Trellix Global Defenders: Cyberattacks Targeting Ukraine and HermeticWiper Protections
• Artigo bem completo do Paulo Pagliusi (parcialmente copiado do artigo na Wikipedia): Guerra Cibernética Russo-Ucraniana – Lições para o Brasil e o Mundo
• Lista de ciber ataques que estão acontecendo durante o conflito: Russia-Ukraine war: related cyberattack developments (Sophos)
• Excelente estudo publicado em Agosto/2022: Getting Bored of Cyberwar: Exploring the Role of the Cybercrime Underground in the Russia-Ukraine Conflict
• Russia-Ukraine War: Role of Hacktivists Vastly Overestimated
• Do SANS ISC:
• Ukraine-Russia Conflict – Cyber Resource Center
• Ukraine & Russia Situation From a Domain Names Perspective
• Russian Cyber Attack Escalation in Ukraine - What You Need To Know!
• Russian Invasion of Ukraine - What to Communicate to Your Workforce
• Da Microsoft:
• Malware attacks targeting Ukraine government
• Destructive malware targeting Ukrainian organizations
• New “Prestige” ransomware impacts organizations in Ukraine and Poland
• Cadet Blizzard emerges as a novel and distinct Russian threat actor
• Russian influence and cyber operations adapt for long haul and exploit war fatigue
• Artigos bem legais do The Record, o portal de notícias The Record, da Recorded Future (em inglês):
• US says Russian hackers breached multiple DOD contractors
• DDoS attacks hit Ukrainian government websites
• New Zealand warns of digital collateral damage from Russia-Ukraine crisis
• White House blames Russia for latest digital attacks on Ukraine
• Russia or Ukraine: Hacking groups take sides
• WhisperGate Malware Corrupts Computers in Ukraine
• Second data wiper attack hits Ukraine computer networks
• US and UK expose new Russian malware targeting network devices
• Biden: U.S. ‘prepared to respond’ to Russian cyberattacks as invasion of Ukraine continues
• Ukraine says Belarusian hackers are targeting its military personnel
• Russia appears to deploy digital defenses after DDoS attacks
• The invasion of Ukraine started online long before troops marched on Kyiv
• This Ukrainian cyber firm is offering hackers bounties for taking down Russian sites
• The internet in Ukraine is still mostly online. Could Starlink be a backup if it goes out?
• Phishing campaign targets European officials assisting in refugee operations
• HermeticWiper and PartyTicket Targeting Computers in Ukraine
• Fighting Russia with computers, not rifles
• U.S. intelligence agencies continue to investigate Viasat cyberattack, Neuberger says
• While Russian tanks attack, Ukrainian supporters hack back
• CISA, FBI warn of satellite network hacks following Viasat cyberattack
• Nestlé denies cyberattack, says stolen data came from business test website
• IsaacWiper Continues Trend of Wiper Attacks Against Ukraine
• DDoS attacks surge in popularity in Ukraine — but are they more than a cheap thrill?
• Russian Information Operations Aim to Divide the Western Coalition on Ukraine
• Internet disruptions hit Kherson as Ukrainian forces advance
• MI6 chief: Russia’s spies ‘not having a great war’ in Ukraine
• Leading Russian streaming platform suffers data leak allegedly impacting 44 million users
• Hacks tied to Russia and Ukraine war have had minor impact, researchers say
• An interview with Ukrainian hacker ‘Herm1t’ on countering pro-Kremlin attacks
• New ‘Prestige’ ransomware campaign targets Ukraine and Poland
• ‘Cyberspace has become a battleground,’ warns Australian Cyber Security Centre
• Ukrainian hacktivists claim to leak trove of documents from Russia’s central bank
• Killnet targets Eastern Bloc government sites, but fails to keep them offline
• Researchers: Wikipedia a front in Russian propaganda war
• Ukraine and Moldova suffer internet disruptions after Russian missile strikes
• Internet disruptions, cyberattacks hit Ukraine following Russian missile strikes
• New supply chain attack targeted Ukrainian government networks
• Moldovaʼs government hit by flood of phishing attacks
• Life during wartime: Ukraine ‘has to be ready for new more powerful and complex’ cyberattacks
• Iran’s support of Russia draws attention of pro-Ukraine hackers
• Ukrainian railway, state agencies allegedly targeted by DolphinCape malware
• Pro-Ukraine hackers leak Russian data in hopes someone will make sense of it
• Pro-Russia hackers use Telegram, GitHub to attack Czech presidential election
• Hackers use fear of mobilization to target Russians with phishing attacks
• Ukraine says Russia is coordinating missile strikes, cyberattacks and information operations
• Ukraine signs agreement to join NATO cyber defense center
• Ukraine police raid social media bot farm accused of pro-Russia propaganda
• Microsoft identifies new hacking group controlled by Russian intelligence
• Hackers infect Russian-speaking gamers with fake WannaCry ransomware
• Britain to double cyber defense funding for Ukraine
• Neuberger: Ukraine experiencing a ‘surge’ in cyberattacks as it executes counteroffensive
• Hackers claim to take down Russian satellite communications provider
• Belarus-linked hacks on Ukraine, Poland began at least a year ago, report says
• Ukrainian hackers take down service provider for Russian banks
• Pro-Russia hackers are increasingly targeting hospitals, researchers warn
• Russian hacking group Armageddon increasingly targets Ukrainian state services
• Russia-backed hacker group Gamaredon attacking Ukraine with info-stealing malware
• Russia’s Turla hackers target Ukraine’s defense with spyware
• Moldova to kick out Russian diplomats over espionage allegations
• Microsoft to freeze license extensions for Russian companies
• NSA, Viasat say 2022 hack was two incidents; Russian sanctions resulted from investigation
• Pro-Russian hackers claim attacks on French, Dutch websites
• Ukraine says it thwarted attempt to breach military tablets
• Esse artigo dá uma "pincelada" sobre as iniciativas de ciber inteligência durante o conflito: Ukrainian official touts country’s wartime cyber intelligence efforts
• Russians impersonate Washington Post and Fox News with anti-Ukraine stories
• Pro-Russian hackers claim attacks on French, Dutch websites
• Gamaredon hackers target Ukrainian military orgs amid counteroffensive efforts
• Pentagon’s new cyber strategy takes lessons from offensive ops, Russian invasion of Ukraine
• Ukraine says an energy facility disrupted a Fancy Bear intrusion
• GRU hacking tools targeting Ukrainian military devices detailed by Five Eyes ("Infamous Chisel")
• Ukrainian state agencies targeted with open-source malware MerlinAgent
• Ukraine, Israel, South Korea top list of most-targeted countries for cyberattacks
• Finnish intelligence agency warns Russia treating Finland as a ‘hostile country’
• Exclusive: Inside Ukraine’s secret drone factories
• CISA's Goldstein: Ukrainian response to Viasat hack proves need for redundancy, resilience
• Second top Ukrainian cyber official arrested amid corruption probe
• Russian opposition activists use QR codes to spread anti-Putin messages
• Ukrainian remote workers targeted in new espionage campaign
• Cyber-espionage group Cloud Atlas targets Russian companies with war-related phishing attacks
• Ukrainian hacktivists claim attack on popular Russian CRM provider
• New malware found in analysis of Russian hacks on Ukraine, Poland
• Massive missile strike disrupts Kyiv's internet and power supply
• Ukraine says Russia hacked web cameras to spy on targets in Kyiv
• Firmware prank causes LED curtain in Russia to display ‘Slava Ukraini’ — police arrest apartment owner
• Detained Russian student allegedly helped Ukrainian hackers with cyberattacks
• Ukraine expects billion-dollar Russian disinformation campaign to peak this spring
• Hackers using Remcos malware to spy on Ukraine have become stealthier, researchers find
• Ukrainian military intelligence claims attack on website of Russia’s ruling party
• Ukraine records increase in financially motivated attacks by Russian hackers
• US accuses Russian of helping Kremlin hack Ukraine’s state computer systems
• Crimea warns of internet disruptions following DDoS attacks on local telecom operators
• O time de Security da Accenture publicou um report sobre a crise de guerra cibernética na Ucrânia. O resultado é um relatório de 20 páginas com várias informações e dicas (pode ir direto na última atualização do report): Russia Ukraine Crisis Overview;
• A Senha Segura publicou um artigo um pouco genérico e superficial sobre guerra cibernética, que tenta dar uma visão geral do tema: Cyberwarfare: Why Should Everyone Be Worried?
• Relatório bem completo do Center for Strategic and International Studies (CSIS): Cyber War and Ukraine
• Excelente texto publicado pelo Governo da Ucrânia: Cyber, Artillery, Propaganda. General overview of the dimensions of Russian aggression
• Levantamento de ciber ataques realizados contra a Ucrânia até maio de 2022, publicado por um grupo de estudos do parlamento Europeu: Russia's war on Ukraine: Timeline of cyber-attacks

• Artigo da Tempest: Silêncio aparente e perigo concreto: o que foi o conflito cibernético na guerra entre Rússia e Ucrânia em 2022
• Artigos da The Hack:
• Um resumo do conflito: Ciberguerra = Lutando no físico e no digital
• Excelente artigo sobre o ataque ao grupo Conti: "Não Conti mais comigo"
• Eles também cobriram a onda de "protestware": Protestware: a moda do protesto open source
• Informações específicas sobre o grupo Killnet:
• Killnet: The Hactivist Group That Started A Global Cyber War
• KillNet Utilizes CC-Attack: A Quick & Dirty DDoS Method
• Pro-Russian Hacker Group Killnet Hits Critical Government Websites in Lithuania
• Case Study 3 – KillNet (Checkpoint)
• US Airport Websites Targeted by Russian KillNet Group
• Killnet: Analysis of Attacks from a Prominent Pro-Russian Hacktivist Group (Forescout)
• Algumas notícias mais relevantes:
• Ukrainian Websites Defaced as Tensions With Russia Continue
• Ukraine crisis: 'Wiper' discovered in latest cyber-attacks
• Ukraine computers hit by data-wiping software as Russia launched invasion
• Report: European Central Bank Warns Against Russian Hacking
• Cibercriminosos russos miram entidades ucranianas desde outubro
• Guerra virtual: Ucrânia relata onda de ataques cibernéticos
• Governo da Ucrânia sofre ataque cibernético de alta escala
• Ataque cibernético atinge Ministério da Defesa da Ucrânia e bancos
• As Russia Invades Ukraine, Cyber Escalation Threat Looms
• HermeticWiper: New data‑wiping malware hits Ukraine
• Report: Ukraine calls for volunteer hackers to protect critical infrastructure
• Anonymous hacktivists, ransomware groups get involved in Ukraine-Russia conflict
• Anonymous launches attacks against Russia and pledges support for Ukraine against ‘Kremlin’s brutal invasion’
• Anonymous declara guerra cibernética contra Rússia por invasão na Ucrânia
• Ukraine Assembles IT Army to Perform DDoS on Russia
• US Officials Tracking Russian Cyberattack Escalation Risk
• Why Hasn't Russia Launched a Major Cyberattack on Ukraine?
• Personal Data of 120,000 Russian Soldiers Published Online
• Ucrânia usa Telegram para atrair simpatia dos hackers
• Ukraine Assembles IT Army to Perform DDoS on Russia
• Ataques cibernéticos ao governo e ao setor militar da Ucrânia aumentaram em 196%
• Cert.br pede que teles avaliem se ataque cibernético à Ucrânia está partindo do Brasil
• Google desativa dados de trânsito do Maps na Ucrânia para proteger cidadãos
• Russia-linked hacker gang launches ranswomware attack on McDonald's: CISA issue 'shields up' alert for ALL American companies to 'prepare for disruptive cyber activity'
• Microsoft Finds FoxBlade Malware Hit Ukraine Hours Before Russian Invasion (OBS: o malware que a Microsoft chama de FoxBlade, destacado nessa notícia, é o HermeticWiper)
• Tretaaaaa.... Conti Ransomware Gang's Internal Chats Leaked Online After Siding With Russia
• Olha o tamanho dessa treta: Rússia nega invasão a satélite e alerta para ato de guerra
• Guerra cibernética: Ucrânia relata ataques “incessantes” de hackers russos
• Ataque cibernético deixa milhares sem internet na Europa - acredita-se que o ataque à rede de satélites Nordnet e Eutelsat pode ter sido causado por russos
• Second New 'IsaacWiper' Data Wiper Targets Ukraine After Russian Invasion
• IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine (ESET)
• Invasão da Ucrânia pela Rússia expõe ao mundo o modelo de guerra híbrida
• Google: Russian Hackers Target Ukrainians, European Allies via Phishing Attacks
• What Russia’s Ongoing Cyberattacks in Ukraine Suggest About the Future of Cyber Warfare
• Don’t fall for the “Donate to help children in Ukraine” scam
• Ukrainian military emails hacked to phish and steal refugee data
• Anonymous hacks Russian TV channels & EV charging station with pro-Ukraine messages
• Google Maps, Apple Maps, and smartphones are at the forefront of modern war
• Uma reflexão interessante: Why Is Ukraine’s Internet Still Up? Perhaps Because the Invaders Need It
• Rússia bloqueou acesso ao Facebook, Twitter e agências de notícias estrangeiras
• Ataques cibernéticos afeta infraestrutura de países da Europa
• Checklist de cibersegurança diante da crise na Ucrânia - transcrição das dicas da Fortinet pelo Minuto da Seguranca
• Both Sides in Russia-Ukraine War Heavily Using Telegram for Disinformation and Hacktivism
• Ukrainian CERT Warns Citizens of Phishing Attacks Using Compromised Accounts
• Ucrânia exagera ou erra sobre ataques russos em meio a guerra de desinformação
• FBI, CISA Warn of Russian Hackers Exploiting MFA and PrintNightmare Bug
• VÍDEO: Voluntários "caçadores de likes" facilitaram ataque russo à Legião Internacional na Ucrânia
• Fotos de voluntários brasileiros na Ucrânia facilitariam ataques russos
• Russia Releases List of IPs, Domains Attacking Its Infrastructure with DDoS Attacks
• Malware Posing as Russia DDoS Tool Bites Pro-Ukraine Hackers
• Threat advisory: Cybercriminals compromise users with malware disguised as pro-Ukraine cyber tools
• As sanções internacionais as empresas russas podem impactar o mercado de segurança:
• Alemanha recomenda que empresas desinstalem produtos da Kaspersky
• German Government Warns Against Using Russia's Kaspersky Antivirus Software
• Collateral Damage — on Cybersecurity (Blog da Kaspersky)
• Kaspersky Is Declared A US National Security Threat And Is Banned By The FCC
• Conti Ransomware Gang's Internal Chats Leaked Online After Siding With Russia
• Site permite enviar mensagens ao povo russo sobre a guerra na Ucrânia
• How To Text Random Russians The Truth About Putin’s War In Ukraine
• Mercado de criptomoedas facilita entrada de ucranianos em Portugal
• 9 Essentials for Global CISOs During Russia's Ukraine War
• Popular NPM Package Updated to Wipe Russia, Belarus Systems to Protest Ukraine Invasion
• Ukraine Secret Service Arrests Hacker Helping Russian Invaders
• A Zelensky Deepfake Was Quickly Defeated. The Next One Might Not Be
• Facebook and YouTube say they removed Zelensky deepfake
• Facebook remove deepfake em que Zelensky declara rendição; assista o vídeo
• Russia's Killer Drone in Ukraine Raises Fears About AI in Warfare
• Fake antivirus updates used to deploy Cobalt Strike in Ukraine
• Update: Cyber Hacktivists Target Belarus for Supporting Russia
• Grupo anti-Rússia ataca a Nestlé desfigurando site
• Ciberataques atingem níveis sem precedentes devido a guerra
• U.S. Government Warns Companies of Potential Russian Cyberattacks
• Russia Says It's Seen 'Unprecedented' Level of Cyberattacks
• Anonymous hacks unsecured printers to send anti-war messages across Russia
• Russia May Have Caused Widespread Satellite Network Outage
• Exclusive: U.S. spy agency probes sabotage of satellite internet during Russian invasion, sources say
• A Mysterious Satellite Hack Has Victims Far Beyond Ukraine
• Pro-Ukraine ‘Protestware’ Pushes Antiwar Ads, Geo-Targeted Malware
• Confirmed: Anonymous Hacks Central Bank of Russia; Leaks 28GB of Data
• CERTs da Rússia e Belarus são afastados da FIRST
• EUA listam Kaspersky como ameaça à segurança nacional
• HackerOne expulsa o programa de recompensas de bugs da Kaspersky de sua plataforma
• Chinese Threat Actor Scarab Targeting Ukraine
• Russian Wiper Malware Likely Behind Recent Cyberattack on Viasat KA-SAT Modems
• Viasat confirms satellite modems were wiped with AcidRain malware
• Ukrainian enterprises hit with the DoubleZero wiper
• Kaspersky é chamado de ameaça à segurança nacional pela FCC
• Esse incidente foi anterior a guerra (em dezembro de 2021), mas é uma baita coincidência interessante: Personal Data of Tens of Millions of Russians and Ukrainians Exposed Online
• Hacktivistas atingem sites governamentais em ataques DDoS ‘Slow HTTP’
• Conflito entre Rússia e Ucrânia é a primeira “ciberguerra” declarada
• FBI warns of Ukrainian charities impersonated to steal donations
• Defendendo a Ucrânia: primeiras lições da guerra cibernética - relatório original, da Microsoft: Defending Ukraine: Early Lessons from the Cyber War
• Hackers apoiados pela Rússia atacam sites lituanos
• Intense ongoing DDoS attack targets companies and institutions in Lithuania
• TrickBot Gang Shifted its Focus on "Systematically" Targeting Ukraine
• Experts Sound Alarm on DCRat Backdoor Being Sold on Russian Hacking Forums
• DDoS Attack Trends for 2022 Q2 (CloudFlare)
• Ukraine targeted by almost 800 cyberattacks since the war started
• Russian hackers allegedly target Ukraine’s biggest private energy firm
• ‘Deepfake’: prefeita de Berlim faz videochamada com homem que se passou por prefeito de Kiev
• Russia's Cyberattack Strategy: Precision, Not Spillover
• Hackers russos usam DropBox e Google Drive para descarregar cargas maliciosas
• Rússia redireciona tráfego de internet em terras ocupadas no sul da Ucrânia
• Hackers russos atacam Ucrânia com boleto de cobrança de impostos falso
• Ataque DDoS vindo da Rússia derruba sites do governo norueguês
• Ukrainian Radio Stations Hacked to Broadcast Fake News About Zelenskyy's Health
• Ukraine disrupts attempt by Russian hackers to take down energy provider
• The hybrid war in Ukraine
• Special Report: Ukraine - An overview of Russia’s cyberattack activity in Ukraine (April 27, 2022) (Microsoft)
• Conflitos geopolíticos trazem impacto ao cibercrime
• Ukraine's cyber army hits Russian cinemas
• Major Takeaways: Cyber Operations During Russia-Ukraine War
• Russia-Ukraine War: 7 Cybersecurity Lessons Learned
• Malware Attacks and Disinformation Campaigns Target Ukraine
• Hackers russos tentaram enganar ucranianos com aplicativo “pró-Ucrânia”
• Hackers russos miram em países da OTAN em novo cibercrime 
• Essa história é interessante: Upgrade no sistema de segurança garantiu sobrevivência ao maior ataque hacker da história
• Hackers Target Ukrainian Software Company Using GoMet Backdoor
• Attackers target Ukraine using GoMet backdoor (Cisco Talos)
• Ukrainian Authorities Arrested Phishing Gang That Stole 100 Million UAH
• Guerra muda estratégia de cyber em 66% das organizações
• Russia-Ukraine Conflict Holds Cyberwar Lessons
• Microsoft disrupts Russian hackers' operation on NATO targets
• Ukraine cyber chief pays surprise visit to 'Black Hat' hacker meeting in Las Vegas
• Hackers Create Traffic Jam in Moscow by Ordering Dozens of Taxis at Once Through App
• Sobrou também para eles: Estônia registra pior incidente cibernético desde 2007
• Former Members of Conti Are Targeting Ukraine, Google Says
• Montenegro officials point fingers at Russia for massive cyberattack as FBI sends team to help investigate
• Russian Gamaredon Hackers Target Ukrainian Government Using Info-Stealing Malware
• Interrupção de satélite na Europa e Ucrânia foi causada por malware
• Rússia inclui satélites civis na lista de alvos militares
• 5 países pedem proibição de produtos Kaspersky na Europa
• Elon Musk: SpaceX Has Spent $80M to Support Ukraine With Starlink
• Ukraine Arrests Cybercrime Group for Selling Data of 30 Million Accounts
• Esse relatório, da Elypsium, tem várias informações interessantes sobre os ataques russos a infraestrutura crítica durante a ciber guerra com a Ucrânia: SEPTEMBER FIRMWARE THREAT REPORT
• Meta remove redes de desinformação baseadas na Rússia e na China
• Ukraine Says Russia Planning Massive Cyberattacks on its Critical Infrastructures
• Russian-speaking hackers knock US state government websites offline
• Ransom Cartel é vinculado ao grupo REvil com sede na Rússia
• Calaleo... olha só essa treta: Ukraine Enters a Dark New Era of Drone Warfare (Wired)
• Reportagem especial da The Hack: {Ciberguerra = Com apoio dos EUA, Ucrânia enfrenta Rússia no ciberespaço}
• Russian military uses Chinese drones and bots in combat, over manufacturers' protests
• Microsoft Blames Russian Hackers for Prestige Ransomware Attacks on Ukraine and Poland
• Russia-based RansomBoggs Ransomware Targeted Several Ukrainian Organizations
• Russian Courts Targeted by New CryWiper Data Wiper Malware Posing as Ransomware
• Russia Hit by New ‘CryWiper’ — Fake Ransomware
• Fresh CryWiper Wiper Malware Aims to Destroy Russian Data
• Russian Courts Targeted by New CryWiper Data Wiper Malware Posing as Ransomware
• Ucrânia sofre com novo ataque ransomware
• GPS Signals Are Being Disrupted in Russian Cities
• Russian Hackers Targeted Petroleum Refinery in NATO Country During Ukraine War
• Cyber Warfare Is Getting Real (WIRED)
• Reino Unido protegeu a Ucrânia de ciberataques
• Cibersegurança de portos alemães preocupa a Otan
• Ukraine unveiled its own Delta situational awareness system
• Phishing Targets Ukrainian Battlefield Awareness Tool Users
• Zelenskyy Makes Case for Ukraine Support in Washington Trip
• Ukraine Observed Nearly 14M Cyber Incidents in Q1 2022
• US Confirms It Has Provided Cybersecurity Support to Ukraine
• Ukraine Successfully Blocked Over 4,500 Cyberattacks in 2022
• Ukraine's DELTA Military System Users Under Attack from Info Stealing Malware
• Wipers disfaçados de ransomware atacam a Rússia
• Ukraine Takes Down Domestic Pro-Kremlin Bot Farms
• Poland Sounds Alarm on Russian Hacking
• Russian Turla Hackers Hijack Decade-Old Malware Infrastructure to Deploy New Backdoors 
• Russian Hackers Reportedly Attacked US Nuclear Labs
• Ucrânia sofre com novo ataque ransomware
• Guerra entre Rússia e Ucrânia revela o lado obscuro da internet; entenda
• UK spent £6.4m on secret cyber package for Ukraine
• 2022 Cyber Review: The Year the Ukraine War Shocked the World
• Russia’s Wartime Cyber Operations in Ukraine: Military Impacts, Influences, and Implications
• Killnet and the Revival of Hacktivism
• Ukraine: Russians Aim to Destroy Information Infrastructure
• ‘No Big Bang’: Cyber successes in Ukraine are no cause for complacency in US
• Gamaredon Group Launches Cyberattacks Against Ukraine Using Telegram
• Fog of war: how the Ukraine conflict transformed the cyber threat landscape
• A Year of the Russia-Ukraine War: Seven Types of Cyberattacks Used Against Ukraine
• What we've learned from a year of Russian cyberattacks in Ukraine
• Russia’s cyberwar against Ukraine offers vital lessons for the West
• Putin is facing defeat in the information war
• Cyber-attacks have tripled in past year, says Ukraine’s cybersecurity agency
• Ukraine: Russian Hackers' Focus Is Civilian Infrastructure
• Será? The Next Cyber Phase of the Russia-Ukraine War Will Echo in Asia
• What the Russian Invasion Reveals About the Future of Cyber Warfare
• Ukrainian hackers spend $25,000 of pro-Russian blogger's money on sex toys
• Russia’s battle to convince people to join its war is being waged on Telegram
• Mass-market military drones have changed the way wars are fought
• CISA Sounds Alarm on Cybersecurity Threats Amid Russia's Invasion Anniversary
• Google Reveals Alarming Surge in Russian Cyber Attacks Against Ukraine
• CERT-UA Alerts Ukrainian State Authorities of Remcos Software-Fueled Cyber Attacks
• Russian Hackers Using Graphiron Malware to Steal Data from Ukraine
• New Report Reveals NikoWiper Malware That Targeted Ukraine Energy Sector
• ESET Research: Russian APT groups, including Sandworm, continue their attacks against Ukraine with wipers and ransomware
• A year of wiper attacks in Ukraine
• Ukraine Hit with New Golang-based 'SwiftSlicer' Wiper Malware in Latest Cyber Attack
• Russia accuses NATO of launching 5,000 cyberattacks since 2022
• UK cyber-argency warns of a new ‘class’ of Russian hackers
• Google: Ukraine targeted by 60% of Russian phishing attacks in 2023
• Russian hackers linked to widespread attacks targeting NATO and EU
• Winter Vivern APT hackers use fake antivirus scans to install malware
• Winter Vivern hackers exploit Zimbra flaw to steal NATO emails
• Russia’s digital warriors adapt to support the war effort in Ukraine, Google threat researchers say
• TikTok derruba rede russa de perfis falsos que fazia campanha anti-Ucrânia
• Rússia prepara ciberataques contra o Ocidente antes de contraofensiva na Ucrânia
• Artigo sobre o "Projeto DDosiia, um grupo de voluntários pró-Rússia que realizam ataques DDoS: Hackers pró-russos usam crise econômica para atrair pessoas pro hacktivismo
• Google: Ukraine targeted by 60% of Russian phishing attacks in 2023
• Ukrainian arrested for selling data of 300M people to Russians
• Russian hackers use WinRAR to wipe Ukraine state agency’s data (CERT-UA)
• Hackers use fake ‘Windows Update’ guides to target Ukrainian govt
• Movie torrents hijacked to send tips on bypassing Russian censorship
• New CS:GO map bypasses Russia's censorship of Ukraine war news
• A guerra cibernética entre hackers de Rússia e Ucrânia (YouTube)

• EUA desmontam ciberespionagem da Rússia visando a Otan
• Contracts Identify Cyber Operations Projects from Russian Company NTC Vulkan (Mandiant)
• What we’ve learned from the leaked Pentagon documents
• Discord member details how documents leaked from closed chat group
• Dados vazados sobre a guerra na Ucrânia podem ter sido alterados
• Hackers ucranianos derrubam infraestrutura bancária da Rússia
• Microsoft links data wiping attacks to new Russian GRU hacking group (Cadet Blizzard)
• Russian APT28 hackers breach Ukrainian govt email servers
• CISA orders govt agencies to patch bugs exploited by Russian hackers
• New Info-Stealer Discovered as Russia Prepares Fresh Offensive
• Russian railway site allegedly taken down by Ukrainian hackers
• Russian EV charging stations hacked with ‘Putin is a d***head’ message (notícia de 03/2022)
• Hack Blamed on Wagner Group Had Another Culprit, Experts Say
• Russian state hackers lure Western diplomats with BMW car ads
• Ukraine’s ground counteroffensive ushers in a new phase of the conflict in cyberspace
• Drones que “seguraram” a Rússia no começo da guerra serão feitos na Ucrânia, diz mídia local
• Um fato bem interessante, que pode influenciar os conflitos futuros: The International Criminal Court Will Now Prosecute Cyberwar Crimes (Wired)
• Olha a treta: o quanto as empresas privadas devem se envolver (ou não) nos serviços prestados durante um cenário de guerra? Elon Musk’s refusal to have Starlink support Ukraine attack in Crimea raises questions for Pentagon
• “Building Resilience”: U.S. returns from second defensive Hunt Operation in Lithuania
• Ukraine war: Cyber-teams fight a high-tech war on front lines
• Ukraine cyber-conflict: Hacking gangs vow to de-escalate
• União Europeia formaliza suporte à segurança cibernética da Ucrânia
• Ukrainian Defence Intelligence Claims Cyberattack on Russian Civil Aviation
• Sandworm Hackers Caused Another Blackout in Ukraine—During a Missile Strike
• Sandworm Disrupts Power in Ukraine Using a Novel Attack Against Operational Technology
• Gamaredon's LittleDrifter USB malware spreads beyond Ukraine
• Russian information operation uses US celebrity Cameos to attack Zelensky
• Ukrainian intelligence attacks and paralyses Russia's tax system – photo
• Ukraine’s largest mobile communications provider down after apparent cyber attack
• Hackers linked to Russian spy agency claim cyberattack on Ukrainian cell network
• UAC-0099 Usando o Exploit WinRAR para direcionar as Empresas Ucranianas com o Malware LONEPAGE
• Ukrainian Hackers Strike Back: Blackjack Cyberattack Disrupts Russian Water Utility
• Russian military hackers target Ukraine with new MASEPIE malware
• Russian hackers wiped thousands of systems in KyivStar attack
• Russian Sandworm hackers breached 11 Ukrainian telcos since May
• Exclusive: Russian hackers were inside Ukraine telecoms giant for months
• Hackers pró-Ucrânia violam provedor de Internet russo em vingança pelo ataque a KyivStar
• Ataque hacker da Ucrânia deixa parte de Moscou sem internet e TV
• 'Hackers' ucranianos publican datos de 38 millones de clientes de mayor banco privado ruso
• Russian Hackers Launch Email Campaigns to Demoralize Ukrainians
• Russia is trying to sabotage European railways, warns Prague
• Europe battles ‘avalanche of disinformation’ from Russia
• Russian disinformation on Ukraine has grown in scale and skill, warns Berlin
• Russia is trying to sabotage European railways, warns Prague
• Ukraine: Hack wiped 2 petabytes of data from Russian research center
• Ukraine claims it hacked Russian Ministry of Defense servers
• Russian Sandworm hackers pose as hacktivists in water utility breaches
• Russian Sandworm hackers targeted 20 critical orgs in Ukraine
• US govt warns of pro-Russian hacktivists targeting water facilities
• Russian Hackers Target Industrial Systems in North America, Europe
• Hackers usam Excel para atacar Ucrânia
• Hackers russos atacam empresa espanhola
• Russian Hacker Groups Allegedly Launch DDoS Attacks on Ukrainian Websites in Retaliation for Moscow Terrorist Incident
• PurpleFox malware infects thousands of computers in Ukraine
• New ICS Malware 'FrostyGoop' Targeting Critical Infrastructure
• Hackers shut down heating in Ukrainian city with malware, researchers say
• Malware desligou aquecimento de 600 residências
• Unpacking the Blackjack Group's Fuxnet Malware
• Destructive ICS Malware ‘Fuxnet’ Used by Ukraine Against Russian Infrastructure
• Russia Adjusts Cyber Strategy for the Long Haul in War With Ukraine
• TV russa é alvo de ataque hacker no aniversário de Putin (NOVO)
• Não custa compartilhar algumas dicas de prevenção e cuidados básicos:
• Cibersegurança durante a invasão da Rússia na Ucrânia: 10 dicas para driblar ataques de ransonware
• Russia-Ukraine Crisis: How to Strengthen Your Security Posture to Protect against Cyber Attack, based on CISA Guidelines (Qualys)
• Cyber Considerations for Organizations During Times of Conflict (TrendMicro)
• Notícias interessantes sobre o conflito, mas não necessariamente são relacionadas diretamente com o tema da guerra cibernética:
• Ministério da Defesa russo trolla o mundo respondendo HTTP 418
• Mercado de criptomoedas facilita entrada de ucranianos em Portugal
• Russian Information Operations Aim to Divide the Western Coalition on Ukraine (Recorded Future)
• Satellite Data Shows How Russia Has Destroyed Ukrainian Grain (Wired)
• How water has been weaponised in Ukraine
• Volodimir Zelenski é escolhido Pessoa do Ano de 2022 pela revista Time
• Volodymyr Zelensky is TIME's 2022 Person of the Year

• Chinese Hackers Using Russo-Ukrainian War Decoys to Target APAC and European Entities
• Russian Hackers Spotted Targeting U.S. Military Weapons and Hardware Supplier
• Especialistas de TI russos se mudam para a América Latina
• Paging Hollywood: Hackers Allegedly Hit JFK Airport … Taxis
• Security News This Week: Russians Hacked JFK Airport Taxi Dispatch in Line-Skipping Scheme
• This app will self-destruct: How Belarusian hackers created an alternative Telegram for activists
• Análise do The Economist: Three scenarios for how war in Ukraine could play out
• Russos mentem na mídia por conta da guerra com a Ucrânia
• How Russia killed its tech industry
• Russia claims Ukraine tried to assassinate Putin in drone attack on the Kremlin
• Russian drone attack in Ukraine after oil refinery targeted
• Recruitment Ad by ‘Cyber Army of Russia Reborn’ Raises Eyebrows in Cybersecurity Circles
• Zelensky: We must make security a reality again
• Russia Seeks to Exploit Western "War Fatigue" to Win in Ukraine
• Supporters of Russian anti-war politician arrested for posting LGBT emoji and political memes
• Cobertura da Agência Pública: Ucrânia - Uma guerra esquecida
• Governo dos EUA anuncia banimento de serviços e produtos da Kaspersky
• EU Sanctions Six Russian Hackers
• Tesla’s Cybertruck Goes, Inevitably, to War
• Algumas palestras interessantes:
• Palestra na RSA Conference: Cyber and Modern Conflict: The Changing Face of Modern Warfare
• Excelente palestra da SentinelLabs na Black Hat 2022: Real 'Cyber War': Espionage, DDoS, Leaks, and Wipers in the Russian Invasion of Ukraine
• The Dynamics of Russian Cyberwar

• Painel do grupo Talos Intelligence da CISCO: 2022 Year in Review: Ukraine

• Palestra do Mikko Hypponen: "Ctrl-Z"

PS: Texto atualizado em 02/03 e grande atualização em 04/03. Atualizado em 07, 08 e 09/03. Novas referências incluídas em 10 e 11/03. Nova atualização em 16, 21, 22, 28, 30/03 e 01/04. Atualizado em 05/04. Feito pequenos ajustes no texto em 06/04. Atualizado em 08 e 11/04 para retirar os IOCs dos malwares (veja o PS/2). Pequenas atualizações em 01 e 09/06. Post atualizado em 14 e 22/07 e novamente em 30/08 e nos dias 02, 06 e 30/09. Novas atualizações, pequenas. em 05, 11, 14, 19, 21 e 25/10. Atualizado em 07, 09 e 18/11. Atualizado em 07+08 e 20+26+31/12/2022.

PS 1,5: Virou o ano e continuamos com o conflito entre a Rússia e a Ucrânia. Post atualizado em 09, 12, 13, 20, 23 e 24/01/2023. Atualizado em 23 e 31/03, em 04, 06, 09, 12 e 22/04, em 03+04+05 e 09+12/05 Atualizado em 10 e 12 e 20, 26 e 30/06. Pequena atualização em 03/07 e novo update em 11+14+17/07. Nova atualização em 03, 17, 22 e 23/08, e também em 12 e 20+21/09 e em 03+10+13+16/10. Atualizado em 17 e 27+30/11 e 08+13+16+18+22+29/12. Pequena atualização em 03/01/2024. Atualizado em 16/01, 21/02, 02/03 e 24/03, em 05/04 e 02+04+06/05. Atualizado em 10 e 24/06 e 02+03/07, e novamente em 23/08, 15/09 e 11/10, e em 18/11.

PS/2 (adicionado em 08/04): Optei por publicar um novo post com os IOCs dos malwares que atacaram a Ucrânia, devido a insistência da plataforma Blogger em suspender esse post diariamente (desde 01/04) sob a alegação de que violava o Community Guidelines - por conter informações sobre vírus. Eu lamento muito em ver que um controle automatizado e mal feito impede o compartilhamento de informação importante entre a comunidade de segurança :(

PS3 (02/06): Por algum motivo bizarro e sem noção, esse post foi suspenso temporariamente pela Google em 29/05/22, sub suspeita de violar as regras de comunidade referente a Malware e Vírus.

PS4 (10/06/23): Vai um meme aí?