Selon les autorités américaines, le ransomware Hive a été utilisé contre plus de 1 300 victimes dans le monde.
À ce jour, plus de 255 victimes ont été identifiées. Dont certaines n’ont pas payé, mais n’ont pas non plus été revendiquées.
On estime les dommages causés par le ransomware à plus de 100 millions de dollars.
De plus, le groupe ne semble pas vouloir arrêter ses activités à une somme aussi impressionnante. Les trois agences ont découvert que Hive réinfectait les victimes qui choisissaient de restaurer leurs réseaux au lieu de payer la demande de rançon.
En avril, l’agence américaine Health and Human Services (HHS) a mis en garde les organismes de santé contre Hive, que le HHS a décrit comme une menace “exceptionnellement agressive” pour le secteur de la santé.
Le gang cible également les installations gouvernementales, les communications, la fabrication critique et l’informatique.
Dans un avis conjoint avec CISA et HHS, le FBI a détaillé cette semaine les techniques et procédures couramment utilisées par Hive que les autorités fédérales ont observées aussi récemment que ce mois-ci.
Alors que l’intrusion initiale dépendra de la filiale de Hive qui mène l’attaque, les criminels se sont introduits dans des réseaux en utilisant des connexions RDP à facteur unique volées, des réseaux privés virtuels et d’autres protocoles de connexion réseau à distance, selon les agences.
Après avoir obtenu un accès initial, contourné les fonctions de sécurité et volé des informations sensibles, les criminels passent au cryptage. Pour cela, ils créent un fichier nommé *.key (note des Fédéraux : c’était auparavant *.key.*). Le fichier clé, nécessaire au déchiffrement, est créé à la racine directement et uniquement sur la machine où il a été créé.
Ils déposent ensuite une note de rançon, “HOW_TO_DECRYPT.txt”, dans chaque répertoire compromis avec un lien vers un “service commercial” accessible via un navigateur TOR pour discuter avec un escroc utile pour discuter du paiement et d’un délai de paiement.
Notons également que le paiement d’une rançon n’est pas une garantie que l’organisation se s’en prendra pas à vous une deuxième voire troisième fois via Hive ou un autre opérateur de ransomware.
En voici un exemple: en mai, une entreprise anonyme a été touchée par l’attaque du rançongiciel Lockbit. Moins de deux heures plus tard, une filiale de Hive ransomware a attaqué la même entreprise et deux semaines plus tard, l’organisation a été attaquée une troisième fois par un groupe de ransomware BlackCat.
En d’autres termes, payer, donnera aiguisera l’appétit des cyber-criminels qui feront de votre entreprise une proie de choix.
