Le gouvernement américain a mis en garde contre les activités malveillantes en cours du célèbre gang de rançongiciels Hive, qui a extorqué plus de 100 millions de dollars à sa liste croissante de victimes.
Un avis conjoint publié jeudi par le FBI, l’Agence américaine de cybersécurité et de sécurité des infrastructures et le ministère de la Santé et des Services sociaux a révélé que le gang de rançongiciels Hive avait reçu plus de 100 millions de dollars en paiements de rançon de plus de 1 300 victimes depuis que le gang a été observé pour la première fois en juin 2021.
Cette liste de victimes comprend des organisations d’un large éventail d’industries et de secteurs d’infrastructures critiques tels que les installations gouvernementales, les communications et les technologies de l’information, en mettant l’accent sur les soins de santé et les entités de santé publique.
Hive, qui exploite un modèle de rançongiciel en tant que service (RaaS), a revendiqué le Memorial Health System, basé dans l’Illinois, comme sa première victime de soins de santé en août 2021. Cette cyberattaque a forcé le système de santé à détourner les soins pour les patients d’urgence et à annuler les soins d’urgence. examens chirurgicaux et radiologiques. Le gang de rançongiciels a également publié des informations sensibles sur la santé d’environ 216 000 patients.
Puis, en juin 2022, le gang a compromis le service de santé publique du Costa Rica avant de cibler le fournisseur de services d’intervention d’urgence et d’ambulance basé à New York Empress EMS le mois suivant. Plus de 320 000 personnes se sont fait voler des informations, notamment des noms, des dates de services, des informations sur l’assurance et des numéros de sécurité sociale.
Le mois dernier, Hive a également ajouté le Lake Charles Memorial Health System, un système hospitalier du sud-ouest de la Louisiane, à son site Web sombre, où il a publié des centaines de gigaoctets de données, y compris des informations sur les patients et les employés.
Hive a également ciblé Tata Power, l’une des principales sociétés de production d’électricité en Inde, en octobre.
L’avis conjoint FBI-CISA-HHS avertit que Hive accède généralement aux réseaux des victimes en utilisant des informations d’identification à facteur unique volées pour accéder aux systèmes de bureau à distance, aux réseaux privés virtuels et à d’autres systèmes connectés à Internet des organisations. Mais la CISA avertit également que le groupe de rançongiciels contourne également certains systèmes d’authentification multifacteur en exploitant des vulnérabilités non corrigées.
« Dans certains cas, les acteurs de Hive ont contourné l’authentification multifacteur et ont obtenu l’accès aux serveurs FortiOS en exploitant CVE-2020-12812 », indique l’avis. « Cette vulnérabilité permet à un cyber-acteur malveillant de se connecter sans invite pour le deuxième facteur d’authentification de l’utilisateur (FortiToken) lorsque l’acteur modifie la casse du nom d’utilisateur. »
L’avis avertit également que des acteurs de Hive ont été observés en train de réinfecter des victimes qui ont restauré leur environnement sans payer de rançon, soit avec Hive, soit avec une autre variante de ransomware.
Les chercheurs du Threat Intelligence Center (MSTIC) de Microsoft ont averti plus tôt cette année que Hive avait mis à jour son malware en migrant son code de Go vers le langage de programmation Rust, lui permettant d’utiliser une méthode de cryptage plus complexe pour son ransomware en tant que charge utile de service.
Le gouvernement américain a partagé les indicateurs de compromission (IOC) et les tactiques, techniques et procédures (TTP) de Hive découverts par le FBI pour aider les défenseurs à détecter les activités malveillantes associées aux affiliés de Hive et à réduire ou éliminer l’impact de tels incidents.