Ransomware : Hunters International apparaît recycler des données volées par Hive

[Mise à jour, le 5 avril 2024 @ 08h15] Dans la presse italienne, Benetton indique que Hunters International utilise là des données volées en janvier 2023 : « après des investigations approfondies, le Groupe Benetton annonce que la menace de fuite de données est liée à la tentative de cyberattaque de janvier 2023, lorsque les activités de prévention et de protection mises en œuvre par le Security Operation Center du Groupe ont intercepté une tentative d’intrusion par un groupe de cybercriminels, limitant ainsi fortement les dommages possibles ».

[Article original, le 4 avril 2024 @ 14h49] Surprise, ce mercredi 3 avril 2024 : la revendication d’une cyberattaque contre Intersport France est publiée sur le site vitrine de la franchise mafieuse Hunters International. Le détaillant sportif serait-il effectivement victime d’une nouvelle attaque ?

Car Intersport France l’avait été le 23 novembre 2022. Nos confrères de La Voix du Nord, l’avaient alors rapporté. L’agression avait été revendiquée deux semaines plus tard sur le site vitrine de la franchise Hive. 

Dans un commentaire sur LinkedIn, l’intéressé indique que « cela semble être du recyclage d’une attaque très localisée survenue fin 2022 chez un de nos adhérents », rappelant avoir fait, pour celle-ci « les démarches et déclarations nécessaires auprès de la CNIL ». « Nous restons toutefois mobilisés pour faire la lumière sur cette nouvelle revendication », ajoute l’enseigne.

D’autres victimes précédemment revendiquées par Hive ont récemment fait leur apparition sur le site vitrine de Hunters International : Exela Technologies, le 28 mars, vu chez Hive en juillet 2022, et Interface, le 3 avril, revendiqué précédemment chez Hive le 20 décembre 2022. 

À cela s’ajoute la revendication d’une cyberattaque contre Benetton, également apparue le 3 avril 2024 sur le site vitrine de Hunters International. En janvier 2023, le groupe s’était dit victime d’une cyberattaque, qualifiée de « sévère ». L’implication d’un rançongiciel n’avait pas été mentionnée, et encore moins celle de Hive. 

Mais si ce dernier avait été impliqué, il n’aurait probablement pas eu le temps de le revendiquer : le 26 janvier, une semaine plus tard, l’infrastructure de Hive était saisie à l’occasion d’une vaste opération de police internationale. Lors d’une conférence de presse retransmise en ligne, les autorités américaines indiquaient avoir réussi à infiltrer l’infrastructure de Hive courant 2022 et aidé plus de 300 victimes à travers le monde, en leur fournissant les clés nécessaires au déchiffrement. 

Nous avons sollicité le service de presse de Benetton et nous ne manquerons pas de mettre à jour cet article quand (et si) des réponses nous parviendront.

Le site vitrine de Hunters International a été découvert à l’automne dernier. Très vite, des liens avec Hive ont été repérés, par le chercheur rivitna, et à partir de l’analyse du code source du ransomware utilisé par Hunters International. Les équipes de Glimps ont fait les mêmes observations.

Le 24 octobre dernier, Hunters International a toutefois réfuté toute affiliation directe avec Hive, assurant que « tous les codes sources de Hive ont été vendus, y compris le site web et les anciennes versions Golang et C, et nous sommes ceux qui les ont achetés ».

Dans un commentaire publié sur LinkedIn, Alex Necula, d’ACS Data Systems, est néanmoins formel : « Hive et Hunters sont le même pentester ». S’il vient à être pleinement confirmé, l’accès à des données précédemment volées par Hive conforterait cette affirmation ou, à tout le moins, l’arrivée d’anciens de Hive dans le giron de Hunters International.