Investigadores de Alemania, EE. UU. y los Países Bajos han desmantelado la red global de ransomware "Hive". Los fiscales alemanes afirmaron que de los más de 1.500 ciberataques a organizaciones en todo el mundo, 70 ataques se produjeron en Alemania.
Comentarios de los expertos Kimberly Goody y John Hultquist sobre la red Hive y las posibles consecuencias del cierre:
“En nuestra investigación de Respuesta a incidentes de 2022, Hive fue la más activa de todas las familias de ransomware observadas: Hive fue responsable de más del 15 por ciento de los ataques de ransomware a los que respondimos. Los afectados provienen de un gran número de países. Sin embargo, el grupo ha tenido su mayor impacto en los Estados Unidos, donde se encuentran el 50 por ciento de todas las víctimas conocidas. Los actores detrás de la operación continuaron desarrollando Hive y reescribieron el ransomware a mediados de 2022 utilizando el lenguaje de programación Rust. Esto probablemente tenía la intención de complicar el análisis y evitar el descubrimiento.
Amplia caja de herramientas de atacante
Desde su lanzamiento, hemos observado que varios actores han utilizado el ransomware Hive. El jugador más activo que encontramos el año pasado fue UNC2727. Las operaciones del grupo son notables porque han impactado regularmente en el sector de la salud.
Hive no era el único ransomware en la caja de herramientas del grupo. Según nuestras observaciones, ha usado CONTI y MOUNTLOCKER en el pasado. Esto muestra que algunos jugadores ya tienen relaciones dentro del amplio ecosistema que podrían permitirles cambiar fácilmente el nombre de sus operaciones". (Kimberly Goody, gerente sénior, inteligencia de clientes en Google Cloud)
La actividad del ransomware apenas está disminuyendo
“Dividir el servicio Hive no dará como resultado una disminución significativa en la actividad general de ransomware. Aún así, es un golpe para un grupo peligroso que ha puesto en peligro vidas al atacar los sistemas de salud. Desafortunadamente, en el corazón del problema del ransomware se encuentra un mercado criminal donde un competidor de Hive estará listo para ofrecer un servicio similar en su ausencia. Sin embargo, pueden pensarlo dos veces antes de permitir que su ransomware se use para atacar hospitales.
Se necesita una mejor defensa
Acciones como dividir Hive agregan fricción a las operaciones de ransomware. Es posible que Hive necesite reagruparse, modificarse e incluso cambiar de imagen. Cuando los arrestos no son posibles, debemos centrarnos en soluciones tácticas y mejores defensas. Hasta que podamos abordar el refugio seguro y resistente del mercado cibernético ruso, eso es en lo que tendremos que centrarnos.” (John Hultquist, Jefe de Inteligencia de Amenazas del Cliente en Google Cloud)
Más en Mandiant.de
Sobre el cliente Mandiant es un líder reconocido en defensa cibernética dinámica, inteligencia de amenazas y respuesta a incidentes. Con décadas de experiencia en la primera línea cibernética, Mandiant ayuda a las organizaciones a defenderse de manera segura y proactiva contra las amenazas cibernéticas y responder a los ataques. Mandiant ahora es parte de Google Cloud.
Artículos relacionados con el tema