La fine del gruppo di ransomware HIVE è stata anche l'inizio di nuovi metodi di indagine: l'infiltrazione di bande di hacker significa che i pagamenti del riscatto non sono più senza alternative. L'aria si fa più rarefatta per le bande APT.
Poche settimane fa, le autorità tedesche e statunitensi (polizia del Baden-Württemberg, FBI e servizi segreti) in collaborazione con altre autorità di sicurezza europee hanno distrutto la rete di hacker "Hive" dopo un'indagine congiunta. Un commento di Lothar Geuenich, VP Central Europe / DACH a Check Point.
HIVE: i colpevoli temono, le vittime sperano
È una vittoria che dovrebbe essere celebrata. Apparentemente, il gruppo aveva già rubato circa 100 milioni di euro a più di 1500 aziende e organizzazioni (70 delle quali in Germania) attraverso attacchi ransomware. Infiltrandosi furtivamente negli hacker, le autorità sono state in grado di far trapelare le chiavi di decrittazione a oltre 300 vittime di ransomware da luglio, consentendo loro di recuperare i propri dati e impedire pagamenti di riscatto per un valore di quasi 120 milioni di euro.
Questo per quanto riguarda i fatti. È vero che queste bande spesso si riformano sotto nomi diversi o si scindono in altre. Tuttavia, questa azione invia un messaggio importante e probabilmente ha scioccato alcuni gruppi di ransomware, non sapendo se anche la loro banda potrebbe essere monitorata. Finora non sono stati annunciati arresti e le indagini sono in corso. Bisogna considerare che gli autori sono stati osservati dalle autorità per più di sei mesi a loro insaputa. Quindi sarà interessante vedere cosa accadrà ai giocatori collegati ad Hive.
HIVE infiltrato e violato dalle autorità
È anche interessante che gli investigatori - in un'azione penale coordinata e con mezzi legali - abbiano violato i sistemi di Hive e aiutato segretamente anche le vittime fornendo loro le chiavi di decrittazione. Per tutto il tempo in Hive le "attività quotidiane" sono andate avanti normalmente. Ci si può aspettare che in futuro leggeremo di più su tali metodi investigativi digitali, poiché sono più veloci e più facili da eseguire rispetto ai metodi tradizionali per rintracciare e arrestare i criminali informatici, soprattutto se si considerano i limiti dell'applicazione della legge internazionale.
Altri gruppi di ransomware ora devono fare i conti con il fatto che le loro vittime riceveranno le chiavi di decrittazione e le loro "operazioni" finiranno presto. Questa è la loro unica leva contro le loro vittime e le priva immediatamente delle basi per il business del ricatto dei dati. Invia anche il messaggio che le autorità utilizzano gli stessi metodi degli autori per condurre operazioni e interrompere i criminali informatici.
Le aziende si fidano delle autorità
Nella migliore delle ipotesi, con l'aiuto delle forze dell'ordine, le vittime non devono pagare un riscatto alle bande di ransomware, il che potrebbe portare più aziende a farsi avanti di fronte a un attacco. Nella migliore delle ipotesi, ciò potrebbe comportare un minor numero di aziende che pagano i criminali se vedono indagini riuscite come lo scioglimento del gruppo Hive.
Sicuramente, questo (seppur notevole) successo investigativo non è stato l'inizio della fine dell'era del ransomware. Ma invia diversi segnali importanti a tutti i gruppi di hacker: da un lato, le forze dell'ordine utilizzano sempre più lo spazio digitale e le tattiche degli autori per batterli al loro stesso gioco. Tuttavia, l'infiltrazione del gruppo Hive mostra anche che la comunità internazionale ha riconosciuto che il crimine informatico richiede indagini e coordinamento transfrontalieri. Questo dice agli hacker che non possono più sentirsi al sicuro lanciando attacchi dall'estero senza timore della giustizia. Sarà interessante vedere quali indagini seguiranno e quale gruppo di hacker potrebbe essersi già infiltrato inconsapevolmente.
Altro su CheckPoint.com
Informazioni sul punto di controllo Check Point Software Technologies GmbH (www.checkpoint.com/de) è un fornitore leader di soluzioni di sicurezza informatica per pubbliche amministrazioni e aziende in tutto il mondo. Le soluzioni proteggono i clienti dagli attacchi informatici con un tasso di rilevamento leader del settore di malware, ransomware e altri tipi di attacchi. Check Point offre un'architettura di sicurezza a più livelli che protegge le informazioni aziendali su cloud, rete e dispositivi mobili e il sistema di gestione della sicurezza "un punto di controllo" più completo e intuitivo. Check Point protegge oltre 100.000 aziende di tutte le dimensioni.