Le FBI partage les détails techniques du ransomware Hive

0

Le Federal Bureau of Investigation (FBI) a publié quelques détails techniques et indicateurs de compromission associés aux attaques de ransomware Hive.

Le FBI a même inclus le lien vers le site de fuite où le gang de ransomware publie des données volées à des entreprises qui n’ont pas payé.

Tactiques et techniques multiples

Le ransomware Hive repose sur un ensemble diversifié de tactiques, de techniques et de procédures, ce qui rend les choses difficiles pour les organisations qui veulent se défendre contre ses attaques, selon le FBI.

Parmi les méthodes utilisées par le gang pour obtenir un accès initial et se déplacer latéralement sur le réseau, on trouve des e-mails de phishing avec des pièces jointes malveillantes et le protocole RDP (Remote Desktop Protocol).

Avant de déployer la routine de chiffrement, le ransomware Hive vole les fichiers qu’il juge précieux, pour faire pression sur la victime pour qu’elle paie la rançon sous la menace d’une fuite de données.

Le FBI indique que le pirate informatique recherche des processus pour les sauvegardes, la copie de fichiers et des solutions de sécurité (comme Windows Defender) qui entraveraient la tâche de chiffrement des données et la termine.

Cette étape est suivie de la suppression d’un script hive.bat qui exécute une routine de nettoyage en se supprimant après avoir supprimé l’exécutable du malware Hive.

Un autre script appelé shadow.bat est chargé de supprimer les clichés instantanés, les fichiers de sauvegarde et les captures d’écran du système, puis se retire de l’hôte compromis.

Le FBI affirme que certaines victimes du ransomware Hive ont déclaré avoir été contactées par l’attaquant leur demandant de payer la rançon en échange des fichiers volés.

« Le délai initial de paiement oscille entre 2 et 6 jours, mais les pirates ont prolongé le délai en réponse à un contact de l’entreprise victime », note l’agence dans son bulletin Flash.

En plus des indicateurs de compromission (IoC), le FBI fournit également un lien vers le site de fuite de l’acteur de la menace, un détail qui est généralement caché dans les rapports techniques.

Certains des fichiers observés dans les attaques de ransomware Hive sont les suivants:

  • Winlo.exe – utilisé pour supprimer 7zG.exe, une version légitime de l’archiveur de fichiers 7-Zip
  • 7zG.exe – version 19.0.0 de l’archiveur de fichiers 7-Zip
  • Winlo_dump_64_SCY.exe – utilisé pour crypter les fichiers avec l’extension .KEY et pour supprimer la demande de rançon HOW_TO_DECRYPT.txt
fbi ransomware hive

Le FBI note que l’acteur de la menace s’appuie également sur des services de partage de fichiers, dont beaucoup sont anonymes, comme Anonfiles, MEGA, Send.Exploit, Ufile ou SendSpace.

Bien qu’il ait été observé pour la première fois fin juin, le ransomware Hive a déjà pénétré plus de 30 organisations cet été, un décompte qui ne comprend que les victimes qui ont refusé de payer la rançon.

Une victime récente du ransomware Hive est Memorial Health System, qui propose un réseau de services comprenant trois hôpitaux et des prestataires représentant 64 cliniques.

À partir de fichiers vus par des chercheurs, l’attaquant a volé des bases de données contenant des informations appartenant à plus de 200 000 patients.

Le FBI ne recommande pas de payer les gangs de ransomware pour les décourager ensuite de poursuivre l’activité. De plus, rien ne garantit que les pirates détruiront les données volées au lieu de les vendre ou de les donner à d’autres criminels.

Indépendamment de la décision de la victime du ransomware de payer ou non, le FBI recommande aux entreprises de signaler les incidents de ransomware au bureau local afin d’aider les enquêteurs avec des informations critiques pour suivre les attaquants, « les tenir responsables en vertu de la loi américaine et prévenir de futures attaques ».

Laisser un commentaire