Les acteurs de la menace derrière le système Hive ransomware-as-a-service (RaaS) ont lancé des attaques contre plus de 1 300 entreprises à travers le monde, rapportant au gang 100 millions de dollars de paiements illicites en novembre 2022.
« Hive ransomware a ciblé un large éventail d’entreprises et de secteurs d’infrastructures critiques, y compris les installations gouvernementales, les communications, la fabrication critique, les technologies de l’information et – en particulier – les soins de santé et la santé publique (HPH) », ont déclaré les autorités américaines de cybersécurité et de renseignement. a dit dans une alerte.
Active depuis juin 2021, l’opération RaaS de Hive implique un mélange de développeurs, qui créent et gèrent le logiciel malveillant, et d’affiliés, qui sont chargés de mener les attaques sur les réseaux cibles en achetant souvent l’accès initial auprès de courtiers d’accès initial (IAB).
Dans la plupart des cas, prendre pied implique l’exploitation des failles ProxyShell dans Microsoft Exchange Server, suivie de la prise de mesures pour mettre fin aux processus associés aux moteurs antivirus et aux sauvegardes de données, ainsi que pour supprimer les journaux d’événements Windows.
L’acteur de la menace, qui a récemment mis à niveau son logiciel malveillant vers Rust comme mesure d’évasion de la détection, est également connu pour supprimer les définitions de virus avant le chiffrement.
« Les acteurs de Hive sont connus pour réinfecter – avec le ransomware Hive ou une autre variante de ransomware – les réseaux d’organisations victimes qui ont restauré leur réseau sans payer de rançon », a déclaré la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.
Selon les données partagées par la société de cybersécurité Malwarebytes, Hive a compromis environ sept victimes en août 2022, 14 en septembre et deux autres entités en octobre, marquant une baisse d’activité par rapport à juillet, lorsque le groupe ciblait 26 victimes.