Le ransomware Hive, également connu sous le nom de « Hive ransomware group« , a été une opération de ransomware en tant que service (RaaS) menée par l’organisation cybercriminelle éponyme entre juin 2021 et janvier 2023. Son principal objectif était d’attaquer principalement les institutions publiques pour ensuite exiger une rançon en échange de la libération des données détournées.
Le contexte historique du ransomware Hive
Hive est apparu pour la première fois en juin 2021. Deux mois plus tard, ZDNet a signalé que Hive avait attaqué au moins 28 organisations de santé aux États-Unis, dont des cliniques et des hôpitaux à travers l’Ohio et la Virginie-Occidentale. En décembre 2021, les analystes de Group-IB Threat Intelligence ont déterminé que le groupe de ransomware Hive communiquait en russe, bien qu’il n’y ait pas d’informations sur son emplacement opérationnel.
Mode opérationnel de Hive
Hive a employé une grande variété de tactiques, techniques et procédures (TTP), créant d’importants défis pour la défense et l’atténuation. Selon le FBI, il fonctionnait comme un ransomware basé sur des affiliés, utilisant plusieurs mécanismes pour compromettre les réseaux d’entreprises, notamment des e-mails de phishing avec des pièces jointes malveillantes pour obtenir un accès, et le protocole de bureau à distance (RDP) une fois qu’un réseau était infiltré.
Les cybercriminels utilisent Hive pour compromettre les appareils des victimes, exfiltrer des données sensibles et chiffrer les fichiers professionnels.
Mais ce qui distingue Hive, c’est sa capacité à évoluer. Par exemple, après la publication d’un décrypteur public, ils ont peut-être adopté Rust, en particulier la version 5, pour créer de nouvelles versions de leur malware.
Incidents majeurs et impact du ransomware Hive
Hive a eu un impact significatif sur le paysage numérique. Selon le FBI, cette opération de ransomware a extorqué environ 100 millions de dollars à plus de 1 500 entreprises depuis juin 2021. De plus, le groupe est particulièrement notoire pour avoir ciblé des hôpitaux et des écoles. L’une de leurs attaques notables a été contre un hôpital du Midwest américain en 2021, l’empêchant d’accepter de nouveaux patients et le forçant à fonctionner entièrement avec des dossiers papier.
Enquête et actions juridiques du FBI
En janvier 2023, à la suite d’une enquête conjointe entre les États-Unis et l’Allemagne impliquant 13 agences de maintien de l’ordre, les États-Unis ont annoncé que le FBI avait « piraté les pirates » pendant plusieurs mois, aboutissant à la saisie des serveurs du groupe de ransomware Hive, mettant ainsi fin à l’entreprise criminelle.
Protection et atténuation de l’attaque
En février 2022, quatre chercheurs de l’Université Kookmin en Corée du Sud ont découvert une vulnérabilité dans l’algorithme de chiffrement du ransomware Hive, leur permettant d’obtenir la clé maîtresse et de récupérer les informations détournées. En novembre 2022, la Cybersecurity and Infrastructure Security Agency (CISA) a publié un avis de cybersécurité détaillant les méthodes d’atténuation du ransomware Hive.
SOS Ransomware expert reconnu dans l’aide aux organisations en cas d’incident de ransomware.
La cybersécurité est plus importante que jamais à l’ère numérique actuelle. Les attaques de ransomware comme Hive montrent à quel point il est essentiel de protéger nos systèmes et nos données. Si vous ou votre organisation êtes victimes d’une attaque de ransomware, n’hésitez pas à contacter le service SOS ransomware, expert dans l’aide aux organisations en cas d’incident de ransomware.
