Hive (groupe pirate)
Hive est un groupe de pirates spécialisé dans l'attaque au rançongiciel de grandes sociétés mondiales des secteurs de la finance ou des hôpitaux. Par extension, le ransomware utilisé porte leur nom. Le rançongiciel utilisé est développé sur le principe du ransomware as a service (voir Software as a service).
Présentation
[modifier | modifier le code]On soupçonne une filiation entre les hackers de Conti et ceux de Hive. Cette filiation est étayée par les séquences utilisées dans le déploiement du rançongiciel qui ont certaines similarités. Par ailleurs, les hackers de Hive sont également soupçonnés d'être russophones[1],[2].
Le rançongiciel Hive est d'abord développé en langage Go puis a ensuite été réécrit en Rust. Le rançongiciel est apparu durant l'été 2021 aux États-Unis. Il s'est fait connaître en s'attaquant au prestataire californien de l'assurance maladie Partnership HealthPlan of California et au distributeur européen Media Markt[3]. Le groupe Hive s'est ensuite concentré sur les hôpitaux américains à tel point qu'il a suscité une note du FBI[4].
Le groupe sort une version en octobre 2021 pour cibler les environnements Linux et FreeBSD avant de développer en avril 2022 une offre pour Microsoft Exchange Server. En mai 2021 le groupe s'attaque aux administrations du Costa Rica (en)[5].
En novembre 2022, on dénombre plus de 1 300 victimes pour le groupe Hive depuis sa création. Il s'agit pour la plupart d'entreprises. Le butin collecté par le groupe s'élève à 100 millions de dollars selon le FBI. Le groupe a pris l'habitude de réinfecter volontairement les cibles qui ont restauré leur environnement informatique sans payer de rançon[1].
Le jeudi 26 janvier 2023, le FBI annonce avoir mené une procédure internationale contre les membres du groupe. Le groupe s'est fait infiltrer au niveau de son réseau informatique par le FBI qui a pu récupérer des clefs de chiffrement. Cette opération s'est terminée par la mise hors service de serveurs informatiques et des sites du groupe sur le darknet. La redistribution des clefs de déchiffrement aux victimes a permis à celles-ci de retrouver leurs données sans payer de rançon[6].
Le banquier du réseau, un russe domicilié à Chypre a été arrêté à Paris le 5 décembre 2023 par l'Ofac (l'Office anti-cybercriminalité). Son domicile chypriote a permis la saisie de 570 000 € en cryptomonnaie[7].
Selon des chercheurs en sécurité de BitDefender, un nouveau groupe de hackers, dénommé Hunters International, utilise le code source et l'infrastructure de Hive pour lancer sa franchise mafieuse[8].
Principales attaques
[modifier | modifier le code]Les principales attaques françaises ont touché, outre Altice et Damart, l'ENAC, le Conseil départemental de la Seine-Maritime, la mairie d'Annecy ou la collectivité de Guadeloupe[7].
En France, le groupe s'est attaqué en septembre 2022 à Damart et Altice France[1].
En août 2022, le groupe Hive s'attaque au groupe Altice France (SFR) sans que soit connue l'importance des données volées[9]. C'est l'attaque de Hive qui a donné lieu à une controverse juridique en France après que le site Reflets.info ait décidé de publier le résultat de la publication des documents volés et publiés par le groupe Hive[10].
En octobre 2022, le groupe Hive revendique avoir volé des données à Tata Power et encodé les données de Tata Power dès le 3 octobre[11].
Le 5 décembre 2022, le groupe Hive revendique l'attaque des magasins Intersport, attaque qui a eu lieu le 23 novembre, en plein Black Friday[12].
En décembre 2022, on apprend une attaque du Lake Charles Memorial (en), un hôpital de Louisiane, où les données de 300.000 patients ont été volées[13].
En janvier 2023, le FBI évalue le nombre de victimes du groupe, depuis leurs débuts en 2021, à 1500 structures dont 58 en France[10].
Notes et références
[modifier | modifier le code]Références
[modifier | modifier le code]- Bogdan Bodnar, « 1300 victimes, 100 millions de dollars, l’impressionnant butin des hackers de Hive », Numérama, (consulté le )
- (en) Sergiu Gatlan, « FBI: Hive ransomware extorted $100M from over 1,300 victims », Bleeping Computer, (consulté le )
- (en) Alexander Culafi, « Researcher develops Hive ransomware decryption tool », Tech Target, (consulté le )
- Jonathan Greig, « Le FBI lance une alerte sur le ransomware Hive », ZDnet, (consulté le )
- (en) Jeff Burt, « Hive ransomware gang rapidly evolves with complex encryption, Rust code », The Register, (consulté le )
- « Rançongiciels : le groupe Hive infiltré par le FBI, des serveurs saisis » , Le Monde, (consulté le )
- « Un banquier occulte russe du réseau de rançongiciel Hive interpellé à Paris » , Le Figaro, (consulté le )
- Gabriel Thierry, « L’un des “banquiers” du gang de rançongiciel Hive arrêté à Paris » , ZDNet, (consulté le )
- Alexandre Boero, « Altice (SFR) victime d'un ransomware, des données volées, mais le groupe refuse de communiquer », Clubic, (consulté le )
- Gabriel Thierry, « La longue liste des victimes françaises du rançongiciel Hive » , ZD Net, (consulté le )
- (en) Ax Sharma, « Hive claims ransomware attack on Tata Power, begins leaking data », Bleeping Computer, (consulté le )
- Bogdan Bodnar, « Des hackers criminels revendiquent une cyberattaque contre Intersport » , Numérama, (consulté le )
- Samir Rahmoune, « Ransomware : une attaque impacte les données de près de 300 000 patients en Louisiane ! » , Clubic, (consulté le )
Annexes
[modifier | modifier le code]Articles connexes
[modifier | modifier le code]