killnet - RunkIntel

# Killnet > [!warning] > Coletivo hacktivista pró-Rússia formado em janeiro de 2022 como resposta à invasão da Ucrânia. Especializado em ataques DDoS volumétricos contra alvos em países da NATO que apoiam a Ucrânia. Opera via Telegram como plataforma de coordenação e recrutamento. ## Visão Geral **Killnet** é um coletivo hacktivista pró-russo formado em janeiro de 2022, no contexto da invasão russa da Ucrânia. O grupo conduz campanhas de negação de serviço distribuído (DDoS) contra infraestruturas de países da NATO que fornecem apoio militar, econômico ou político à Ucrânia. O coletivo é liderado por um indivíduo conhecido como **"Killmilk"**, que utiliza o Telegram como plataforma principal de coordenação, recrutamento e divulgação de operações. Esta estrutura de canal público distingue o Killnet de APTs tradicionais: o grupo opera de forma semi-transparente, anunciando alvos e revendicando ataques em tempo real para maximizar o efeito psicológico e de propaganda. Em 2023, o Killnet anunciou uma reorganização sob o nome **Black Skills**, expandindo para um modelo de DDoS-as-a-Service (DDoS-por-contrato). O grupo mantém afiliações com outros coletivos como **Anonymous Sudan** e **Anonymous Russia**, formando uma rede informal de hacktivismo pró-Kremlin. O impacto técnico dos ataques do Killnet é geralmente limitado - interrupções de serviços públicos por horas ou dias, não comprometimento de dados. O impacto real é psicológico e propagandístico: demonstrar capacidade de atingir infraestrutura ocidental e amplificar narrativas de guerra na mídia. ## Attack Flow e Padrões de Ataque ```mermaid graph TB A["📢 Seleção de Alvo Canal Telegram Votação pública de alvos"] --> B["🔍 Reconhecimento IPs e domínios públicos Infraestrutura de governo"] B --> C["⚡ TCP SYN Flood Volumétrico layer 4 Esgotamento de conexões"] B --> D["📡 UDP Flood Amplificação via DNS/NTP Reflexão volumétrica"] C --> E["🌐 Impacto Downtime de serviços Impacto em horas/dias"] D --> E E --> F["📣 Reivindição Telegram público Amplificação de propaganda"] classDef recon fill:#1a1a2e,color:#e0e0ff,stroke:#4a4a8a classDef attack fill:#7b1c1c,color:#fff,stroke:#a02020 classDef impact fill:#4f3d0d,color:#fde68a,stroke:#f59e0b classDef claim fill:#2d1b4e,color:#c4b5fd,stroke:#7c3aed class A,B recon class C,D attack class E impact class F claim ``` | Técnica | ID | Uso | |---------|-----|-----| | Network Denial of Service | [[t1498-network-denial-of-service\|T1498]] | Ataques DDoS volumétricos | | Direct Network Flood | [[t1498-001-direct-network-flood\|T1498.001]] | TCP SYN flood contra alvos | | Reflection Amplification | [[t1498-002-reflection-amplification\|T1498.002]] | Amplificação via DNS e NTP | ## Alvos e Campanhas Notáveis ```mermaid timeline title Killnet - Principais Campanhas DDoS 2022-04 : Romania : Governo apoiou Ucrânia 2022-05 : Eurovision Song Contest : Alvo Itália host 2022-08 : Lithuania : Bloqueio ao enclave Kaliningrado 2022-12 : Healthcare EUA : Hospitais e sistemas de saúde 2023-01 : Germany : Suporte tanques Leopard à Ucrânia 2023-02 : NATO Cyber Defense : Sites da aliança ``` **Alvos do setor saúde (dezembro 2022):** O Killnet ampliou alvos para hospitais nos EUA e Europa após declarações de apoio ocidental à Ucrânia. Alvos incluíram Stanford Healthcare, Michigan Medicine e outros. O FBI emitiu alerta específico sobre ameaças do Killnet ao setor de saúde. **Afiliações e rede:** - **Anonymous Sudan** - parceiro em campanhas contra plataformas ocidentais (Microsoft 365, Azure, OneDrive - junho 2023) - **Anonymous Russia** - afiliado pro-Kremlin - **Phoenix** - grupo associado com foco em dados médicos - **XakNet Team** - operações paralelas de influência ## Estrutura Organizacional O Killnet opera como coletivo descentralizado com hierarquia informal: - **Killmilk** - líder fundador; coordena estratégia e seleção de alvos - **Subgrupos** - divisões temáticas por país-alvo (Killnet Italy, Killnet Germany, etc.) - **"Soldados"** - membros que executam ataques via ferramentas compartilhadas no canal - **Canais Telegram** - infraestrutura central para orquestração Em 2023, Killmilk anunciou rebranding como "Black Skills" e transição para modelo de DDoS-as-a-Service, ofertando capacidades de ataque para clientes pagantes. ## Relevância para o Brasil e LATAM > [!latam] > O Killnet não demonstrou interesse histórico em alvos brasileiros ou latino-americanos. O foco é exclusivamente em países NATO e apoiadores diretos da Ucrânia. Contudo, o modelo de coletivo hacktivista-como-serviço representa um padrão replicável: grupos hacktivistas pró-governos autoritários regionais (Venezuela, Cuba, Nicarágua) podem adotar táticas similares contra alvos democráticos da região. Organizações de [[government|governo]] e [[healthcare|saúde]] no Brasil devem manter capacidade de mitigação DDoS como medida geral de resiliência, independentemente da ameaça específica do Killnet. ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|-----|-----| | Network Denial of Service | [[t1498-network-denial-of-service\|T1498]] | DDoS volumétrico contra infraestrutura alvo | | Direct Network Flood | [[t1498-001-direct-network-flood\|T1498.001]] | TCP SYN flood, UDP flood direto | | Reflection Amplification | [[t1498-002-reflection-amplification\|T1498.002]] | Amplificação via DNS e NTP | | Acquire Infrastructure: VPS | [[t1583-003-virtual-private-server\|T1583.003]] | Infraestrutura de ataque via VPS alugados | | Gather Victim Identity Info | [[t1589-gather-victim-identity-information\|T1589]] | Reconhecimento de IPs e domínios alvo | ## Detecção e Mitigação - Implementar proteção DDoS via CDN (Cloudflare, Akamai) ou serviços dedicados (AWS Shield) - Monitorar canais Telegram do Killnet para alertas antecipados de campanhas - Ativar WAF e rate limiting em serviços públicos durante períodos de alta tensão geopolítica - Planejar capacidade de failover para serviços críticos ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-110a) CISA - Russian State-Sponsored and Criminal Cyber Threats (2022) - [2](https://www.mandiant.com/resources/blog/gru-disruptive-playbook) Mandiant - Pro-Russian Hacktivist Operations in Context of Ukraine War (2022) - [3](https://www.fbi.gov/contact-us/field-offices/portland/news/killnet-targets-us-healthcare) FBI - KillNet Targeting US Healthcare Sector (2023) - [4](https://krebsonsecurity.com/2023/01/killnet-and-anonymous-sudan-are-targeting-microsoft-azure/) Krebs on Security - KillNet and Anonymous Sudan Targeting Microsoft Azure (2023)