Le Federal Bureau of Investigation a publié cette semaine une alerte pour fournir des détails techniques et des indicateurs de compromission (IOC) pour les attaques utilisant le ransomware Hive.

Observée pour la première fois en juin 2021, l’opération de ransomware Hive est basée sur l’affiliation, avec de nombreuses tactiques, techniques et procédures (TTP) utilisées, ce qui rend l’atténuation difficile, selon le FBI.

Les attaques de ransomware Hive utilisent divers mécanismes pour compromettre les réseaux d’entreprise, notamment les e-mails de phishing pour l’accès initial et le protocole RDP (Remote Desktop Protocol) pour le mouvement latéral. Ensuite, les acteurs de la menace exfiltrent les données d’intérêt, puis cryptent les systèmes sur le réseau.

Les adversaires laissent une note de rançon dans chaque répertoire concerné, fournissant aux victimes des informations sur la façon de payer la rançon et menaçant de rendre les données volées publiques sur le site Web HiveLeaks Tor.

Sur les machines compromises, le ransomware cherche à arrêter les processus des applications de sauvegarde, de cybersécurité et de copie de fichiers, pour s’assurer qu’il peut chiffrer tous les fichiers ciblés.

Le ransomware dépose quelques scripts dans le répertoire de travail, pour effectuer le nettoyage une fois le cryptage terminé et pour supprimer les clichés instantanés, y compris les copies de sauvegarde de disque, pour empêcher la récupération de fichiers.

Les fichiers cryptés sont généralement ajoutés à la double extension finale de *.key.hive ou *.key.* et les victimes sont averties que leurs données sont perdues si les fichiers *key.* sont modifiés, renommés ou supprimés, selon le FBI.

Les victimes sont généralement dirigées vers un site Web sur le réseau Tor et encouragées à contacter les attaquants via un chat en direct, mais certaines auraient reçu des appels téléphoniques des adversaires. Les victimes sont invitées à payer la rançon dans un délai de 2 à 6 jours, mais les agresseurs ont prolongé le délai lorsqu’ils ont été contactés par la victime.

Les attaquants informent également les victimes que les données volées à des organisations qui ne veulent pas payer la rançon seront publiées sur une fuite…