Hive : une franchise de ransomware redoutablement active

En moins de six mois, les ransomwares de la franchise Hive ont touché des centaines d’entreprises, selon une nouvelle étude de Group-IB. Les analystes de ce dernier ont déterminé qu’à la mi-octobre, 355 entreprises avaient été victimes des activités associées à ce ransomware en mode service (RaaS), détecté pour la première fois en juin.

Nos propres recherches sur le ransomware Hive nous avaient amenés à identifier près de 90 victimes de ce dernier à travers le monde, dont 23 en Europe. Nous en avions trouvé 21 en octobre et autant en novembre. Mais ces chiffres étaient manifestement bien en deçà de la réalité.

Une grande partie des victimes sont tombées en un seul mois. De septembre à octobre, le nombre de victimes a augmenté de 72 %, passant de 181 organisations à 312, selon un billet de blog publié par Group-IB.

« Les affidés ont dû trouver de nouvelles opportunités, et les opérateurs de Hive leur ont fourni l’infrastructure nécessaire. »

Oleg Skulkin, responsable de la criminalistique numérique chez Group-IB, a attribué cette augmentation éclair à la fermeture de plusieurs franchises de RaaS : « les affidés ont dû trouver de nouvelles opportunités, et les opérateurs de Hive leur ont fourni l’infrastructure nécessaire », a déclaré Oleg Skulkin dans un courriel adressé à nos collègues de SearchSecurity (groupe TechTarget).

La menace du ransomware Hive est devenue suffisamment grave pour que le FBI publie, fin août, une alerte détaillant les indicateurs de compromission et les tactiques, techniques et procédures associées aux activités l’impliquant. Il a encouragé les utilisateurs à examiner et à appliquer des mesures d’atténuation afin d’éviter d’être victimes d’une cyberattaque.

Selon le billet de Group-IB, la plupart des victimes de Hive étaient originaires des États-Unis, les principaux secteurs d’activité étant l’informatique et l’immobilier. L’une des premières victimes que les analystes ont trouvées était Altus Group, contre lequel une attaque a été revendiquée en juin. Hive a également été utilisé contre d’autres importantes entreprises en Europe, comme MediaMarkt et Correos Express.

Les analystes de Group-IB sont parvenus à mettre à profit une erreur d’API dans l’infrastructure de Hive pour déterminer le nombre exact d’attaques et estimer le nombre d’entreprises ayant payé une rançon : « le 16 octobre, l’API de Hive contenait les enregistrements de 312 entreprises qui ont très probablement été victimes des opérateurs de Hive ». Mais les analystes de Group-IB ont « également découvert que 104 entreprises sur 312 avaient négocié avec les opérateurs de Hive » et qu’elles n’avaient pas été mises à l’index sur le site vitrine de la franchise.

Ce recours à une API a surpris les analystes : hormis Hive, le seul groupe ayant utilisé des API était Grief, le successeur de DoppelPaymer. Ce dernier avait été impliqué dans l’attaque dont a été victime Manutan en février 2021. Les erreurs mises à profit par Group-IB pour enquêter sur Hive ont depuis été corrigées.

Les analystes de Group-IB ont constaté que « pour chaque attaque à venir de leurs affiliés, les opérateurs du RaaS Hive construisent un kit personnalisé. Ce kit contient différentes versions du ransomware pour divers systèmes d’exploitation » : Windows, Linux, FreeBSD et ESXi versions 4.0 et supérieures.

Une fois qu’une victime est touchée, les affiliés lui remettent la note de rançon qui contient un lien vers le site Web de Hive avec les identifiants de connexion. Il existe même un service dit « commercial » qui se charge des discussions avec la victime. Si la victime paie la rançon, elle peut télécharger un outil de déchiffrement assorti d’un guide pratique : « cependant, certaines victimes affirment avoir rencontré des problèmes pour déchiffrer leurs données après avoir reçu l’outil », relève Group-IB.