Le gang Hive exploite un ransomware du même nom qui cible notamment les systèmes Linux et Windows. Les pirates utilisent diverses techniques pour atteindre leurs cibles, dont le phishing. Certains membres de ce groupe, très actif en 2021 et 2022, seraient des anciens de Conti.
Hive est un gang de ransomware qui repose sur le modèle RaaS (ransomware as a service). Apparu pour la première fois en juin 2021, le groupe a ciblé au moins 28 organisations après deux mois d’activité. En 2022, soit un an à peine après son entrée en activité, Hive se trouve à la troisième place des ransomware les plus actifs selon Malwarebytes. Le groupe Lockbit se trouve à la première position. Les enquêtes menées par les experts en cybersécurité révèlent qu’il s’agit d’un groupe russophone, mais ne donnent aucune information sur leur emplacement. Retour sur le fonctionnement et les attaques notables du gang.
Comment fonctionne le ransomware Hive ?
Le ransomware Hive s’appuie sur des mécanismes classiques pour l’accès initial, à savoir une vaste campagne d’e-mails de phishing. Les courriers contiennent des pièces jointes malveillantes, qui une fois ouvertes, permettent aux pirates de se déplacer dans le réseau.
Le ransomware dépose deux scripts batch lorsqu’il est exécuté :
- Hive.bat qui s’auto-supprime,
- Shadow.bat qui supprime les copies fantômes du système.
Une fois les fichiers sensibles infectés, les victimes aperçoivent l’extension « .hive ». Les pirates déposent un fichier how_to_decrypt.txt sur l’ordinateur des victimes qui indiquent les instructions à suivre pour récupérer les données.
Cette demande de rançon inclut un lien qui redirige vers une page de connexion. Elle comprend aussi des identifiants de connexion que la victime doit renseigner sur ce portail pour négocier avec leur « service commercial ».
Hive pratique la technique de double extorsion. Leurs logiciels cryptent et exfiltrent les données d’une cible en même temps. Le groupe menace de divulguer les données sur HiveLeaks, leur site Tor, si le paiement n’est pas effectué.
Quelles sont les attaques notables du groupe ?
En octobre 2022, le marché boursier annonce que Tata Power, une multinationale indienne dans le secteur énergétique, est victime d’une cyberattaque. L’entreprise possède plusieurs filiales lui permettant de s’aligner sur l’ensemble de la chaîne de valeur : transport et distribution, production, logistique, etc.
Suite à l’attaque, Tata Power fait aussitôt une déclaration à la presse, relativisant l’ampleur de l’incident. Quelques jours plus tard, le groupe de ransomware Hive affiche Tata Power dans sa longue liste de victimes sur HiveLeaks, son site sur le darkweb.
La violation a permis aux pirates de dérober des informations sensibles comme les données sur les salariés, contrats clients, dessins d’ingénierie, etc.
Tata Power n’est qu’un exemple dans la longue liste de cibles de Hive, habitué à l’attaque des infrastructures critiques.
INDIA – 2021/06/09: In this photo illustration, a TATA Power company logo seen displayed on an Android Tablet Phone. (Photo Illustration by Avishek Das/SOPA Images/LightRocket via Getty Images)
En 2021, le groupe attire l’attention du FBI après quelques mois d’existence suite à une série d’attaques visant des établissements de santé. Parmi eux, on retrouve le Memorial Health System, une organisation qui gère plusieurs centres de santé et hôpitaux aux États-Unis. Les cyberattaques ont retardé les interventions chirurgicales et paralysés les services d’urgence de ces établissements.
En novembre 2022, le FBI a déclaré que le gang a réussi à extorquer près de 100 millions de dollars de rançons à ses victimes en 18 mois d’existence. Ce chiffre correspond à près de 1300 entreprises ciblées à travers le monde.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Des liens probables entre Hive et Conti ?
En mai 2022, le Costa Rica voit son service de santé publique (CCCS) paralysé suite à une cyberattaque visant l’ensemble des systèmes informatiques. L’incident a mis hors service le service pendant plusieurs heures. La demande de rançon a permis aux enquêteurs de remonter au gang Hive, une information que le CCCS reconnaît également dans un communiqué sur les réseaux sociaux.
La cible tente de rassurer les citoyens aussitôt en affirmant que leurs informations de santé et fiscales n’ont pas été compromises.
Cet incident survient alors que le pays est en état d’urgence nationale suite à d’autres attaques menées par un autre groupe, Conti. Ce dernier a pris pour cible le Fonds de Sécurité sociale du Costa Rica (CCSS), le ministère du Travail et de la Sécurité sociale, le ministère des Finances du pays, etc. Conti exigeait alors une rançon de 10 millions de dollars pour restaurer les données du ministère des Finances. Le Costa Rica a refusé de payer.
Si Conti est de moins en moins actif, les experts supposent que le groupe s’est allié à d’autres pour mener des opérations d’envergure. Hive fait partie de la liste aux côtés de BlackCat et HelloKitty. D’autres estiment que des anciens membres de Conti ont rejoint Hive. Les résultats des enquêtes de Advanced Intel confirment ces soupçons. Selon l’organisme, Hive a bénéficié des accès d’attaque initiaux et des pentesters de Conti dans ses opérations depuis novembre 2021.
Contre-attaque et démantèlement de Hive
En janvier 2023, une opération conjointe des autorités néerlandaises, allemandes et américaines a permis d’infiltrer les réseaux informatiques de Hive. Selon le FBI, la campagne de surveillance a duré des mois et a permis de récupérer les clés de déchiffrement.
Les autorités l’ont envoyé à toutes les victimes identifiées dans le monde entier, ce qui leur a évité de payer près de 130 millions de rançon. Depuis le début de l’opération, le FBI a obtenu 300 clés de déchiffrement, en plus de 1000 destinées aux victimes plus anciennes.
Au-delà des clés, les forces de l’ordre ont pris le contrôle des serveurs et des sites utilisés par le groupe pour communiquer. Cette opération a engendré des perturbations importantes dans les activités de Hive à travers le monde.
Un an plus tôt, des chercheurs sud-coréens ont réussi à décrypter les fichiers infectés par le ransomware. Le département de sécurité de l’information financière de l’université de Kookmin a analysé l’algorithme de chiffrement du groupe. L’opération fut un succès puisque l’étude a permis de déchiffrer jusqu’à 98 % des fichiers test.
Néanmoins, le département d’Etat américain poursuit ses efforts en offrant une récompense allant jusqu’à 10 millions de dollars à ceux qui donnent des informations sur les opérateurs de Hive. Son objectif est d’identifier et de localiser les acteurs qui occupent un poste clé dans cette organisation.
Un autre montant de 5 millions de dollars est offert à ceux qui ont des informations sur les individus ayant participé de près ou de loin aux activités du groupe de ransomware.
