Les acteurs de la menace à l’origine du programme de ransomware en tant que service Hive ont lancé des attaques contre plus de 1 300 entreprises dans le monde entier, ce qui leur a permis d’engranger 100 millions de dollars en paiements illicites à la date de novembre 2022.
« Le ransomware Hive a ciblé un large éventail d’entreprises et d’infrastructures critiques, notamment des installations gouvernementales, des systèmes de communication, des industries critiques, des technologies de l’information et, en particulier, des services de santé et de santé publique », ont indiqué les autorités américaines chargées de la cybersécurité et du renseignement dans un bulletin d’alerte.
Active depuis juin 2021, l’opération RaaS de Hive implique un mélange de développeurs, qui créent et gèrent les logiciels malveillants, et d’affiliés, qui sont responsables de la conduite des attaques sur les réseaux cibles en achetant souvent un accès initial auprès de courtiers d’accès initiaux.
L’acteur de la menace, qui a récemment mis à jour ses logiciels malveillants pour qu’ils deviennent des rouilles afin d’échapper à la détection, est également connu pour supprimer les définitions de virus avant le chiffrement.
« Les acteurs de Hive sont connus pour réinfecter – avec le ransomware Hive ou une autre variante de ransomware – les réseaux des organisations victimes qui ont restauré leur réseau sans payer de rançon », a déclaré l’Agence américaine pour la cybersécurité et la sécurité des infrastructures (U.S. Cybersecurity and Infrastructure Security Agency).
Selon les données communiquées par l’entreprise de cybersécurité Malwarebytes, Hive a compromis environ sept victimes en août 2022, 14 en septembre et deux autres entités en octobre, ce qui marque une baisse d’activité par rapport au mois de juillet, où le groupe avait ciblé 26 victimes.
