Gli investigatori provenienti da Germania, Stati Uniti e Paesi Bassi hanno smantellato la rete globale di ransomware "Hive". I pubblici ministeri tedeschi hanno affermato che degli oltre 1.500 attacchi informatici alle organizzazioni in tutto il mondo, 70 attacchi erano in Germania.
Commenti degli esperti Kimberly Goody e John Hultquist sulla rete Hive e le probabili conseguenze della rimozione:
“Nella nostra ricerca sulla risposta agli incidenti del 2022, Hive è stata la più attiva di tutte le famiglie di ransomware osservate: Hive era responsabile di oltre il 15% degli attacchi ransomware a cui abbiamo risposto. Le persone colpite provengono da un gran numero di paesi. Tuttavia, il gruppo ha avuto il suo maggiore impatto negli Stati Uniti, dove ha sede il 50% di tutte le vittime conosciute. Gli attori dietro l'operazione hanno continuato a sviluppare Hive e hanno riscritto il ransomware utilizzando il linguaggio di programmazione Rust a metà del 2022. Questo era probabilmente inteso a complicare l'analisi e impedire il rilevamento.
Ampia cassetta degli attrezzi per gli attaccanti
Dalla sua uscita, abbiamo osservato che diversi attori hanno utilizzato il ransomware Hive. Il giocatore più attivo che abbiamo trovato l'anno scorso è stato UNC2727. Le operazioni del gruppo sono degne di nota perché hanno regolarmente avuto un impatto sul settore sanitario.
Hive non era l'unico ransomware nella cassetta degli attrezzi del gruppo. Secondo le nostre osservazioni, ha utilizzato CONTI e MOUNTLOCKER in passato. Ciò dimostra che alcuni attori hanno già relazioni all'interno dell'ampio ecosistema che potrebbero consentire loro di rinominare facilmente le loro operazioni." (Kimberly Goody, Senior Manager, Client Intelligence presso Google Cloud)
L'attività del ransomware è appena in calo
“L'interruzione del servizio Hive non comporterà una riduzione significativa dell'attività complessiva del ransomware. Tuttavia, è un duro colpo per un gruppo pericoloso che ha messo in pericolo vite umane attaccando i sistemi sanitari. Sfortunatamente, al centro del problema del ransomware c'è un mercato criminale in cui un concorrente di Hive sarà pronto a offrire un servizio simile in sua assenza. Tuttavia, potrebbero pensarci due volte prima di consentire che il loro ransomware venga utilizzato per attaccare gli ospedali.
È necessaria una migliore difesa
Azioni come la rottura di Hive aggiungono attrito alle operazioni ransomware. Hive potrebbe dover riorganizzare, riorganizzare e persino cambiare immagine. Quando gli arresti non sono possibili, dobbiamo concentrarci su soluzioni tattiche e migliori difese. Fino a quando non saremo in grado di affrontare il mercato russo del crimine informatico sicuro e resiliente, questo è ciò su cui dovremo concentrarci." (John Hultquist, Head of Client Threat Intelligence presso Google Cloud)
Altro su Mandiant.de
A proposito di clienti Mandiant è un leader riconosciuto nella difesa informatica dinamica, nell'intelligence sulle minacce e nella risposta agli incidenti. Con decenni di esperienza sul fronte informatico, Mandiant aiuta le organizzazioni a difendersi in modo sicuro e proattivo dalle minacce informatiche e a rispondere agli attacchi. Mandiant fa ora parte di Google Cloud.
Articoli relativi all'argomento