Des enquêteurs d'Allemagne, des États-Unis et des Pays-Bas ont démantelé le réseau mondial de rançongiciels "Hive". Les procureurs allemands ont déclaré que sur plus de 1.500 70 cyberattaques contre des organisations dans le monde, XNUMX attaques se sont produites en Allemagne.
Commentaires des experts Kimberly Goody et John Hultquist sur le réseau Hive et les conséquences probables du retrait :
« Dans notre recherche sur la réponse aux incidents de 2022, Hive était la plus active de toutes les familles de ransomwares observées : Hive était responsable de plus de 15 % des attaques de ransomwares auxquelles nous avons répondu. Les personnes touchées viennent d'un grand nombre de pays. Cependant, le groupe a eu son plus grand impact aux États-Unis, où 50% de toutes les victimes connues sont basées. Les acteurs à l'origine de l'opération ont continué à développer Hive et ont réécrit le ransomware en utilisant le langage de programmation Rust à la mi-2022. Cela visait probablement à compliquer l'analyse et à empêcher la détection.
Large boîte à outils pour les attaquants
Depuis sa sortie, nous avons observé que plusieurs acteurs ont utilisé le rançongiciel Hive. Le joueur le plus actif que nous avons trouvé l'année dernière était UNC2727. Les activités du groupe sont remarquables car elles ont régulièrement impacté le secteur de la santé.
Hive n'était pas le seul ransomware dans la boîte à outils du groupe. Selon nos observations, elle a utilisé CONTI et MOUNTLOCKER dans le passé. Cela montre que certains acteurs ont déjà des relations au sein du vaste écosystème qui pourraient leur permettre de renommer facilement leurs opérations. » (Kimberly Goody, Senior Manager, Client Intelligence chez Google Cloud)
L'activité des ransomwares diminue à peine
"La rupture du service Hive n'entraînera pas une diminution significative de l'activité globale des ransomwares. Pourtant, c'est un coup porté à un groupe dangereux qui a mis des vies en danger en attaquant les systèmes de santé. Malheureusement, au cœur du problème des rançongiciels se trouve un marché criminel où un concurrent de Hive se tiendra prêt à offrir un service similaire en son absence. Cependant, ils peuvent réfléchir à deux fois avant d'autoriser l'utilisation de leur logiciel de rançon pour attaquer les hôpitaux.
Une meilleure défense nécessaire
Des actions telles que le démantèlement de Hive ajoutent de la friction aux opérations de ransomware. Hive devra peut-être se regrouper, se rééquiper et même changer d'image. Lorsque les arrestations ne sont pas possibles, nous devons nous concentrer sur des solutions tactiques et de meilleures défenses. Jusqu'à ce que nous soyons en mesure de nous attaquer au marché russe de la cybercriminalité, refuge et résilient, c'est sur cela que nous devrons nous concentrer. » (John Hultquist, responsable de Client Threat Intelligence chez Google Cloud)
Plus sur Mandiant.de
À propos des clients Mandiant est un leader reconnu de la cyberdéfense dynamique, des renseignements sur les menaces et de la réponse aux incidents. Avec des décennies d'expérience sur la cyber ligne de front, Mandiant aide les organisations à se défendre en toute confiance et de manière proactive contre les cybermenaces et à répondre aux attaques. Mandiant fait désormais partie de Google Cloud.
Articles liés au sujet