Le FBI lance une alerte sur le ransomware Hive

Sécurité : Le FBI vient d’émettre une alerte officielle à propos de Hive, un ransomware qui commence à faire des ravages au sein de l’administration américaine, et notamment au sein des hôpitaux américains.

Le FBI vient de publier une alerte sur le ransomware Hive, après des attaques menées par le groupe sur deux hôpitaux américains, dans l’Ohio ainsi qu’en Virginie. Cette note d’alerte présente Hive comme un ransomware apparu pour la première fois en juin et déployant de « de multiples mécanismes pour compromettre les réseaux d’entreprise, notamment des courriels de phishing avec des pièces jointes malveillantes pour obtenir un accès et le protocole Remote Desktop pour se déplacer latéralement une fois sur le réseau ».

« Après avoir compromis un réseau victime, les acteurs du ransomware Hive exfiltrent les données et chiffrent les fichiers sur le réseau. Les acteurs laissent une note de rançon dans chaque répertoire affecté du système de la victime, qui fournit des instructions sur la façon d’acheter le logiciel de décryptage. La note de rançon menace également de divulguer les données exfiltrées des victimes sur le site Tor, « HiveLeaks » », explique le FBI.

Et de préciser que « le ransomware Hive recherche les processus liés aux sauvegardes, à l’antivirus/anti-spyware et à la copie de fichiers, et les interrompt pour faciliter le chiffrement des fichiers. Les fichiers chiffrés se terminent généralement par une extension .hive ».
 

Des délais de paiement de deux à six jours

Selon le FBI, le ransomware corrompt les systèmes et les sauvegardes avant de diriger les victimes vers un lien vers le « service commercial » du groupe, accessible via un navigateur TOR. Le lien amène les victimes à un chat en direct avec les personnes à l’origine de l’attaque, mais le FBI a noté que certaines victimes ont même été appelées par les attaquants pour demander des rançons.

La plupart des victimes sont confrontées à un délai de paiement compris entre deux et six jours, mais d’autres ont pu prolonger leur délai par la négociation.

Le groupe exploite un site de fuite qu’il utilise pour menacer les victimes afin qu’elles paient. Le FBI a inclus des indicateurs de compromission, un lien vers le site de fuite et un exemple de demande de rançon remise à une victime dans son alerte. De quoi donner le ton sur un ransomware qui pourrait bien virer au cauchemar pour les entreprises et les administrations dans les prochaines semaines et les prochains mois.

Source : ZDNet.com

Catégories