Un rapport US décrypte les activités de Hive

Ce 17 novembre 2022, le FBI, la CISA et le Département de la Santé et des Services sociaux américains ont dévoilé un avis conjoint de cybersécurité sur Hive. Il indique qu’entre juin 2021 et novembre 2022, les affiliés du ransomware-as-a-service (RaaS) sont parvenus à soutirer plus de 100 millions de dollars après des attaques menées contre 1 300 entreprises dans le monde.

Le groupe a visé « un large éventail d’entreprises et de secteurs d’infrastructures critiques, notamment les installations gouvernementales, les communications, la fabrication critique, les technologies de l’information et surtout les soins de santé et la santé publique », pointent les autorités américaines.

« Ce collectif est connu pour réinfecter les organisations victimes qui ont restauré leur réseau sans effectuer de paiement de rançons », lit-on dans le rapport. En France, Hive s’est fait connaître pour les piratages de Damart et, surtout, d’Altice, en août 2022. Ce qui avait conduit à la publication de documents confidentiels du groupe télécoms.

D’un point de vue opérationnel, Hive cible en priorité les réseaux utilisant des connexions à facteur unique, en piratant le protocole RDP, les VPN et autres protocoles de connexion à distance [T1133].

Les pirates ont aussi utilisé des techniques classiques de phishing, les vulnérabilités dans les serveurs Microsoft Exchange, ainsi que d’autres failles leur permettant de contourner les authentifications à double facteur.

Si l’origine du groupe reste inconnue, Hive pourrait être lié à la Russie, puisque certains noms de dossiers publiés étaient rédigés en russe, et que le groupe utilise des techniques d’intrusion développées par le gang russe Conti, dissous au printemps 2022.