Los federales han interrumpido la prolífica pandilla de ransomware Hive, salvando a las víctimas de una demanda colectiva de $ 130 millones en rescate. Pero queda por ver qué tan impactante será el esfuerzo para el panorama general del ransomware.
Las operaciones del grupo han estado repletas de actividad durante meses, acumulando más de 1,500 víctimas en más de 80 países de todo el mundo desde que apareció en junio de 2021, según un anuncio del Departamento de Justicia de EE. UU. La pandilla ha estado operando con un modelo de ransomware como servicio (RaaS), participando en el robo de datos y la doble extorsión, y entregando su veneno indiscriminadamente a distritos escolares, firmas financieras, infraestructura crítica y otros. Al menos un afiliado se ha vuelto un poco especialista hospitalario, interrupción de la atención al paciente en algunos ataques.
En lo que los funcionarios llamaron “una vigilancia cibernética del siglo XXI”, el FBI se ha estado infiltrando en la infraestructura de la red de la pandilla desde julio pasado y, quizás lo más notable, ahora se ha apoderado de sus claves de descifrado.
"El FBI ha proporcionado más de 300 claves de descifrado a las víctimas de Hive que fueron atacadas", según Anuncio del jueves. “Además, el FBI distribuyó más de 1,000 claves de descifrado adicionales a víctimas anteriores de Hive”.
Colmena: ¿Se ha ido para siempre?
Además de deslizar los descifradores, el Departamento de Justicia también trabajó con las fuerzas del orden público alemanas para ejecutar una incautación coordinada de la infraestructura de comando y control (C2) del grupo (incluidos dos servidores ubicados en Los Ángeles) y el sitio de fugas de la Dark Web del grupo, el fiscal de EE. UU. dijo el general Merrick Garland durante una conferencia de prensa.
Las acciones podrían tener un efecto significativo en el volumen de ataques de ransomware, al menos a corto plazo. Según Mandiant, Hive fue la familia de ransomware más prolífica con la que se enfrentó en sus compromisos de respuesta a incidentes, y representó más del 15 % de las intrusiones de ransomware a las que respondió.
Dicho esto, si bien la huelga sin duda será un duro golpe para la pandilla, es poco probable que sus afiliados y miembros permanezcan inactivos por mucho tiempo. Al igual que con otros derribos de alto perfil, como los de Cuentas y Malvado, es probable que simplemente se unan a otros equipos o se reagrupen para pinchar otro día.
"Hemos visto a varios actores que utilizan el ransomware Hive desde que surgió, pero el actor más prolífico durante el último año, según nuestra visibilidad, fue UNC2727", dijo Kimberly Goody, gerente sénior de Mandiant Intelligence - Google Cloud, en un comunicado por correo electrónico. . “Hive tampoco ha sido el único ransomware en su conjunto de herramientas; en el pasado los hemos visto emplear Conti y MountLocker, entre otros. Esto muestra que algunos actores ya tienen relaciones dentro del amplio ecosistema que podrían permitirles cambiar fácilmente al uso de otra marca como parte de sus operaciones”.
El ransomware se está volviendo menos atractivo
Aún así, el juego del ransomware se está volviendo más difícil para los operadores, que enfrentan márgenes de ganancia decrecientes, valoraciones más bajas para las criptomonedas, un intenso escrutinio policial, más víctimas que tienen copias de seguridad adecuadas y un aumento de las negativas de los objetivos a pagar. Como tal, los investigadores han visto una tendencia emergente de actores de ransomware siguiendo otras vías para hacer dinero.
Crane Hassold, ex analista de operaciones psicológicas cibernéticas del FBI y jefe de investigación de Abnormal Security, dijo por correo electrónico que es probable que este último evento agregue combustible a ese fenómeno.
“Es muy posible que comencemos a ver a los actores de ransomware pasar a otros tipos de ataques cibernéticos, como el compromiso de correo electrónico comercial (BEC)”, dijo. “BEC es la amenaza cibernética con mayor impacto financiero en la actualidad y, en lugar de usar su malware de acceso inicial para afianzarse en la red de una empresa, simplemente podrían reconfigurar el malware para establecer el acceso a los buzones de correo de los empleados, lo que podría conducir a correos electrónicos de proveedores más escalados y sofisticados. ataques de compromiso”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/hive-ransomware-gang-loses-honeycomb
