Investigadores da Alemanha, dos EUA e da Holanda quebraram a rede global de ransomware "Hive". Os promotores alemães afirmaram que dos mais de 1.500 ataques cibernéticos a organizações em todo o mundo, 70 ataques ocorreram na Alemanha.
Comentários dos especialistas Kimberly Goody e John Hultquist sobre a rede Hive e as prováveis consequências da remoção:
“Em nossa pesquisa de resposta a incidentes de 2022, a Hive foi a mais ativa de todas as famílias de ransomware observadas: a Hive foi responsável por mais de 15% dos ataques de ransomware aos quais respondemos. Os afetados vêm de um grande número de países. No entanto, o grupo teve seu maior impacto nos Estados Unidos, onde vivem 50% de todas as vítimas conhecidas. Os atores por trás da operação continuaram desenvolvendo o Hive e reescreveram o ransomware em meados de 2022 usando a linguagem de programação Rust. Isso provavelmente pretendia complicar a análise e impedir a detecção.
Ampla caixa de ferramentas do atacante
Desde o seu lançamento, observamos que vários atores usaram o ransomware Hive. O jogador mais ativo que encontramos no ano passado foi UNC2727. As operações do grupo destacam-se por impactar regularmente o setor de saúde.
O Hive não era o único ransomware na caixa de ferramentas do grupo. De acordo com nossas observações, ela usou CONTI e MOUNTLOCKER no passado. Isso mostra que alguns players já têm relacionamentos dentro do amplo ecossistema que podem permitir que eles renomeiem facilmente suas operações.” (Kimberly Goody, gerente sênior, Mandiant Intelligence no Google Cloud)
A atividade de ransomware mal está diminuindo
“Interromper o serviço Hive não resultará em uma diminuição significativa na atividade geral do ransomware. Ainda assim, é um golpe para um grupo perigoso que colocou vidas em perigo ao atacar sistemas de saúde. Infelizmente, no centro do problema do ransomware está um mercado criminoso, onde um concorrente da Hive oferece um serviço semelhante em sua ausência. No entanto, eles podem pensar duas vezes antes de permitir que seu ransomware seja usado para atacar hospitais.
Melhor defesa necessária
Ações como desmembrar o Hive adicionam atrito às operações de ransomware. O Hive pode precisar reagrupar, reequipar e até mudar a imagem. Quando as prisões não são possíveis, precisamos nos concentrar em soluções táticas e melhores defesas. Até que sejamos capazes de lidar com o mercado de cibercrime resiliente e seguro da Rússia, é nisso que precisaremos nos concentrar.” (John Hultquist, chefe de inteligência de ameaças ao cliente no Google Cloud)
Mais em Mandiant.de
Sobre clientes A Mandiant é uma líder reconhecida em defesa cibernética dinâmica, inteligência de ameaças e resposta a incidentes. Com décadas de experiência na linha de frente cibernética, a Mandiant ajuda as organizações a se defenderem com confiança e proatividade contra ameaças cibernéticas e a responderem a ataques. A Mandiant agora faz parte do Google Cloud.
Artigos relacionados ao tema