Hive (groupe pirate)

Hive est un groupe de pirates spécialisé dans l'attaque au rançongiciel de grandes sociétés mondiales des secteurs de la finance ou des hôpitaux. Par extension, le ransomware utilisé porte leur nom. Le rançongiciel utilisé est développé sur le principe du ransomware as a service (voir Software as a service).

Présentation

On soupçonne une filiation entre les hackers de Conti et ceux de Hive. Cette filiation est étayée par les séquences utilisées dans le déploiement du rançongiciel qui ont certaines similarités. Par ailleurs, les hackers de Hive sont également soupçonnés d'être russophones^[1],[2].

Le rançongiciel Hive est d'abord développé en langage Go puis a ensuite été réécrit en Rust. Le rançongiciel est apparu durant l'été 2021 aux États-Unis. Il s'est fait connaître en s'attaquant au prestataire californien de l'assurance maladie Partnership HealthPlan of California et au distributeur européen Media Markt^[3]. Le groupe Hive s'est ensuite concentré sur les hôpitaux américains à tel point qu'il a suscité une note du FBI^[4].

Le groupe sort une version en octobre 2021 pour cibler les environnements Linux et FreeBSD avant de développer en avril 2022 une offre pour Microsoft Exchange Server. En mai 2021 le groupe s'attaque aux administrations du Costa Rica (en)^[5].

En novembre 2022, on dénombre plus de 1 300 victimes pour le groupe Hive depuis sa création. Il s'agit pour la plupart d'entreprises. Le butin collecté par le groupe s'élève à 100 millions de dollars selon le FBI. Le groupe a pris l'habitude de réinfecter volontairement les cibles qui ont restauré leur environnement informatique sans payer de rançon^[1].

Le jeudi 26 janvier 2023, le FBI annonce avoir mené une procédure internationale contre les membres du groupe. Le groupe s'est fait infiltrer au niveau de son réseau informatique par le FBI qui a pu récupérer des clefs de chiffrement. Cette opération s'est terminée par la mise hors service de serveurs informatiques et des sites du groupe sur le darknet. La redistribution des clefs de déchiffrement aux victimes a permis à celles-ci de retrouver leurs données sans payer de rançon^[6].

Le banquier du réseau, un russe domicilié à Chypre a été arrêté à Paris le 5 décembre 2023 par l'Ofac (l'Office anti-cybercriminalité). Son domicile chypriote a permis la saisie de 570 000 € en cryptomonnaie^[7].

Selon des chercheurs en sécurité de BitDefender, un nouveau groupe de hackers, dénommé Hunters International, utilise le code source et l'infrastructure de Hive pour lancer sa franchise mafieuse^[8].

Principales attaques

Les principales attaques françaises ont touché, outre Altice et Damart, l'ENAC, le Conseil départemental de la Seine-Maritime, la mairie d'Annecy ou la collectivité de Guadeloupe^[7].

En France, le groupe s'est attaqué en septembre 2022 à Damart et Altice France^[1].

En août 2022, le groupe Hive s'attaque au groupe Altice France (SFR) sans que soit connue l'importance des données volées^[9]. C'est l'attaque de Hive qui a donné lieu à une controverse juridique en France après que le site Reflets.info ait décidé de publier le résultat de la publication des documents volés et publiés par le groupe Hive^[10].

En octobre 2022, le groupe Hive revendique avoir volé des données à Tata Power et encodé les données de Tata Power dès le 3 octobre^[11].

Le 5 décembre 2022, le groupe Hive revendique l'attaque des magasins Intersport, attaque qui a eu lieu le 23 novembre, en plein Black Friday^[12].

En décembre 2022, on apprend une attaque du Lake Charles Memorial (en), un hôpital de Louisiane, où les données de 300.000 patients ont été volées^[13].

En janvier 2023, le FBI évalue le nombre de victimes du groupe, depuis leurs débuts en 2021, à 1500 structures dont 58 en France^[10].

Notes et références

Références

1. Bogdan Bodnar, « 1300 victimes, 100 millions de dollars, l’impressionnant butin des hackers de Hive », Numérama, 19 novembre 2022 (consulté le 19 novembre 2022)
2. (en) Sergiu Gatlan, « FBI: Hive ransomware extorted $100M from over 1,300 victims », Bleeping Computer, 17 novembre 2022 (consulté le 19 novembre 2022)
3. (en) Alexander Culafi, « Researcher develops Hive ransomware decryption tool », Tech Target, 13 juillet 2022 (consulté le 3 septembre 2022)
4. Jonathan Greig, « Le FBI lance une alerte sur le ransomware Hive », ZDnet, 27 août 2021 (consulté le 3 septembre 2022)
5. (en) Jeff Burt, « Hive ransomware gang rapidly evolves with complex encryption, Rust code », The Register, 6 juillet 2022 (consulté le 3 septembre 2022)
6. « Rançongiciels : le groupe Hive infiltré par le FBI, des serveurs saisis »  , Le Monde, 26 janvier 2023 (consulté le 27 janvier 2023)
7. « Un banquier occulte russe du réseau de rançongiciel Hive interpellé à Paris »  , Le Figaro, 12 décembre 2023 (consulté le 12 décembre 2023)
8. Gabriel Thierry, « L’un des “banquiers” du gang de rançongiciel Hive arrêté à Paris »  , ZDNet, 14 décembre 2023 (consulté le 14 décembre 2023)
9. Alexandre Boero, « Altice (SFR) victime d'un ransomware, des données volées, mais le groupe refuse de communiquer », Clubic, 2 septembre 2022 (consulté le 3 septembre 2022)
10. Gabriel Thierry, « La longue liste des victimes françaises du rançongiciel Hive »  , ZD Net, 27 janvier 2023 (consulté le 27 janvier 2023)
11. (en) Ax Sharma, « Hive claims ransomware attack on Tata Power, begins leaking data », Bleeping Computer, 25 octobre 2022 (consulté le 31 octobre 2022)
12. Bogdan Bodnar, « Des hackers criminels revendiquent une cyberattaque contre Intersport »  , Numérama, 6 décembre 2022 (consulté le 6 décembre 2022)
13. Samir Rahmoune, « Ransomware : une attaque impacte les données de près de 300 000 patients en Louisiane ! »  , Clubic, 29 décembre 2022 (consulté le 29 décembre 2022)

Annexes

Articles connexes

• REvil
• Conti (rançongiciel)

•   Portail de la sécurité informatique
•   Portail de la criminologie