Le FBI a enquêté sur les machinations du rançongiciel Hive. Il a été constaté que plus de 1.300 100 entreprises dans le monde ont été lésées et environ XNUMX millions de dollars ont été extorqués. Media Markt et Saturn ont été les principales victimes en Allemagne.
Le FBI a créé un avis de cybersécurité (CSA) basé sur son enquête sur le rançongiciel Hive. Les conseils, idées et publications inclus sont des conseils précieux pour les défenseurs du réseau. Les résultats ont été publiés sur la page du projet CISA Arrêtez les rançongiciels .
Butin de 100 millions de dollars
En novembre 2022, les acteurs du rançongiciel Hive avaient nui à plus de 1.300 100 entreprises dans le monde et reçu environ 2021 millions de dollars en paiements de rançon, selon le FBI. En novembre XNUMX, Hive a lancé des cyberattaques contre Media Markt et Saturn et les a fait chanter. Le ransomware Hive suit le modèle de ransomware-as-a-service (RaaS), où les développeurs créent, maintiennent et mettent à jour le malware, et les partenaires exécutent les attaques de ransomware.
De juin 2021 à au moins novembre 2022, les acteurs de la menace ont déployé le rançongiciel Hive pour cibler un large éventail d'entreprises et d'infrastructures critiques, y compris les installations gouvernementales, les installations de communication, les installations de fabrication critiques, les technologies de l'information, et plus particulièrement les services de santé et sociaux.
Scénarios d'attaque classiques
La méthode de pénétration initiale dépend de la société qui attaque le réseau. Les acteurs de la ruche ont obtenu un accès initial aux réseaux des victimes en se connectant via le protocole de bureau à distance (RDP), les réseaux privés virtuels (VPN) et d'autres protocoles de connexion réseau à distance à facteur unique.
Dans certains cas, les acteurs de Hive ont contourné l'authentification multifacteur (MFA) et ont obtenu l'accès aux serveurs FortiOS en exploitant la vulnérabilité CVE-2020-12812. Cette vulnérabilité permet à un cyberacteur malveillant de se connecter sans être invité à fournir le deuxième facteur d'authentification de l'utilisateur (FortiToken) si l'acteur modifie la casse du nom d'utilisateur.
Les acteurs de Hive ont également obtenu un accès initial aux réseaux de victimes en distribuant des e-mails de phishing avec des pièces jointes malveillantes et en exploitant les vulnérabilités suivantes dans les serveurs Microsoft Exchange.
Plus sur CISA.gov.com