Ransomware : Hive, plus de 1 300 victimes… dont plus ont résisté qu’on ne le sait

La franchise de ransomware Hive – ou du moins, certains de ses affidés – semble avoir compris que revendiquer toutes ses victimes se refusant à payer la rançon demandée n’est pas nécessairement… payant. Et peut même s’avérer préjudiciable pour l’image de la franchise.

Les autorités américaines viennent de publier un nouveau bulletin d’alerte sur le ransomware Hive. Au menu, des indications précieuses sur les techniques, tactiques et procédures connues de la franchise et de ses affidés. Mais aussi un chiffre : plus de 1 300. Ce serait le nombre d’entreprises, dans le monde, ayant été attaquées avec le rançongiciel Hive, à date. Le déploiement de Hive aurait ainsi rapporté plus de 100 millions de dollars américains.  

Ces chiffres apparaissent cohérents avec des études antérieures. Selon Group-IB, à la mi-octobre 2021, 355 entreprises avaient été victimes des activités associées à Hive, détecté pour la première fois au mois de juin précédent. À l’époque, nos propres recherches sur le ransomware Hive nous avaient amenés à identifier près de 90 victimes de ce dernier à travers le monde, dont 23 en Europe. Nous en avions trouvé 21 en octobre 2021 et autant en novembre. 

En tout, nous avons identifié 118 victimes de Hive en 2021, et 137 en 2022. Certaines d’entre elles n’ont jamais été revendiquées alors que rien ne laisse à penser qu’elles aient cédé au chantage et payé la moindre rançon.

Cela vaut notamment pour Damart, attaqué fin août avec le ransomware Hive. LeMagIT a obtenu une note déposée à l’occasion du chiffrement par le rançongiciel et consulté un espace de négociation dédié à Damartex. Celui-ci suggérait qu’aucune discussion n’avait été engagée entre Damart et ses assaillants. Pour autant, l’attaque n’a pas été revendiquée sur le site vitrine de la franchise Hive.

Ce cas n’est pas isolé. Nous avons observé la même situation pour Deutsche Angestellten-Akademie GmbH, attaqué fin août. Et cela vaut aussi pour Correos Express, en 2021.

Les victimes de la franchise Hive sont parfois revendiquées un mois, sinon plus, après la survenue de l’attaque, lorsque la victime n’a pas cédé aux demandes des assaillants. Mais l’absence durable de revendication pour certaines victimes de premier plan n’ayant pas cédé suggère que les opérateurs de Hive et/ou certains de ses affidés préfèrent ne pas faire la publicité de leurs… échecs. À ce stade, il n’est malheureusement pas possible d’estimer dans quelles proportions.