Слідчі з Німеччини, США та Нідерландів зламали глобальну мережу програм-вимагачів Hive. Німецька прокуратура заявила, що з понад 1.500 кібератак на організації по всьому світу 70 атак були в Німеччині.
Коментарі експертів Кімберлі Гуді та Джона Халтквіста щодо мережі Hive та ймовірних наслідків видалення:
«У нашому дослідженні реагування на інциденти 2022 року Hive був найактивнішим із усіх спостережуваних сімей програм-вимагачів: Hive відповідав за понад 15 відсотків атак програм-вимагачів, на які ми реагували. Постраждалі походять з великої кількості країн. Однак найбільший вплив група мала в Сполучених Штатах, де проживає 50 відсотків усіх відомих жертв. Учасники операції продовжили розробку Hive і переписали програму-вимагач за допомогою мови програмування Rust у середині 2022 року. Ймовірно, це мало на меті ускладнити аналіз і запобігти виявленню.
Широкий набір інструментів зловмисника
Ми помітили, що з моменту його випуску кілька акторів використовували програму-вимагач Hive. Найактивнішим гравцем, якого ми знайшли минулого року, був UNC2727. Операції групи заслуговують на увагу, оскільки вони регулярно впливають на сектор охорони здоров'я.
Hive був не єдиним програмним забезпеченням-вимагачем у наборі інструментів групи. За нашими спостереженнями, вона використовувала CONTI і MOUNTLOCKER в минулому. Це свідчить про те, що деякі гравці вже мають стосунки в широкій екосистемі, які можуть дозволити їм легко ребрендингувати свої операції» (Кімберлі Гуді, старший менеджер клієнтського аналізу Google Cloud).
Активність програм-вимагачів ледве знижується
«Припинення служби Hive не призведе до значного зниження загальної активності програм-вимагачів. Тим не менш, це удар по небезпечній групі, яка поставила під загрозу життя, атакуючи системи охорони здоров’я. На жаль, в основі проблеми програм-вимагачів лежить злочинний ринок, де конкурент Hive буде стояти поруч, щоб запропонувати подібну послугу за його відсутності. Однак вони можуть двічі подумати, перш ніж дозволити використати програму-вимагач для нападу на лікарні.
Потрібен кращий захист
Такі дії, як розбиття Hive, ускладнюють операції програм-вимагачів. Hive може знадобитися перегрупувати, переобладнати та навіть змінити імідж. Коли арешти неможливі, нам потрібно зосередитися на тактичних рішеннях і кращому захисті. Поки ми не зможемо впоратися з російським надійним притулком і стійким ринком кіберзлочинності, саме на цьому нам потрібно буде зосередитися» (Джон Халтквіст, керівник відділу аналізу клієнтських загроз Google Cloud).
Більше на Mandiant.de
Про клієнта Mandiant є визнаним лідером у сфері динамічного кіберзахисту, аналізу загроз та реагування на інциденти. Маючи десятиліття досвіду на кіберфронтовій лінії, Mandiant допомагає організаціям впевнено та проактивно захищатися від кіберзагроз і реагувати на атаки. Тепер Mandiant є частиною Google Cloud.
Статті по темі