notion image
Ce jeudi 26 janvier 2023 a eu lieu le démantèlement du deuxième groupe (derrière Lockbit) le plus actif de ransomware sur l’année précédente : Hive. En 2022, ce ransomware a été identifié comme l’une des menaces les plus importantes ciblant des infrastructures critiques en Europe et aux Etats-Unis. Hive a ainsi attaqué plus de 1500 entreprises réparties dans plus de 80 pays depuis le mois de Juin 2021 et les rançons collectées représentent environ 100 millions d’euros de pertes pour ces entreprises. Le groupe Hive comporte des affiliés pour mener à bien ses opérations malveillantes et utilise la méthode de double extorsion : une phase de copie des données et une phase de chiffrement des informations.
notion image
L’opération a été menée par Europol avec le soutien de 13 pays dont la France, l’Allemagne et les Etats-Unis. Le démantèlement de ce groupe a commencé de nombreux mois auparavant avec l’infiltration du FBI dans le réseau de Hive pour récupérer plus de 300 clés de déchiffrement livrées aux victimes pour ainsi prévenir le paiement de plus de 130 millions de dollars de rançon.
 
En complément, le département d’État des États-Unis offre une récompense de jusqu’à 10 millions de dollars pour toute information susceptible de conduire à la localisation ou l’identification de toute personne ayant contribué à des actions malveillantes contre les infrastructures critiques des Etats-Unis.
notion image
Voici les Indicateurs de Compromission (IoCs) relevés par le FBI ainsi que les techniques MITRE ATT&CK :
Known IOCs - Files
Known IOCs – Events
Known IOCs – Logged Processes
Potential IOC IP Addresses for Compromise or Exfil:
HOW_TO_DECRYPT.txt typically in directories with encrypted files
System, Security and Application Windows event logs wiped
wevtutil.exe cl system
84.32.188[.]57
*.key typically in the root directory, i.e., C:\ or /root
Microsoft Windows Defender AntiSpyware Protection disabled
wevtutil.exe cl security
93.115.26[.]251
hive.bat
Microsoft Windows Defender AntiVirus Protection disabled
wevtutil.exe cl application
181.231.81[.]239
shadow.bat
Volume shadow copies deleted
vssadmin.exe delete shadows /all /quiet
186.111.136[.]37
asq.r77vh0[.]pw - Server hosted malicious HTA file
Normal boot process prevented
wmic.exe SHADOWCOPY /nointeractive
158.69.36[.]149
asq.d6shiiwz[.]pw - Server referenced in malicious regsvr32 execution
wmic.exe shadowcopy delete
108.62.118[.]190
asq.swhw71un[.]pw - Server hosted malicious HTA file
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
185.247.71[.]106
asd.s7610rir[.]pw - Server hosted malicious HTA file
bcdedit.exe /set {default} recoveryenabled no
5.61.37[.]207
Windows_x64_encrypt.dll
185.8.105[.]103
Windows_x64_encrypt.exe
5.199.162[.]220
Windows_x32_encrypt.dll
5.199.162[.]229
Windows_x32_encrypt.exe
89.147.109[.]208
Linux_encrypt
5.61.37[.]207
Esxi_encrypt
5.199.162[.]229;
46.166.161[.]123;
46.166.162[.]125
83.97.20[.]81
84.32.188[.]57
93.115.25[.]139;
93.115.27[.]148
158.69.36[.]149/span>
185.8.105[.]67
185.8.105[.]112
186.111.136[.]37
 
Initial Access
Exfiltration
External Remote Services
T1133
Transfer Data to Cloud Account
T1537
Exploit Public-Facing Application
T1190
Impact
Phishing
T1566.001
Data Encrypted for Impact
T1486
Execution
Inhibit System Recovery
T1490
Command and Scripting Interpreter
T1059
Defense Evasion
Indicator Removal on Host
T1070
Modify Registry
T1112
Impair Defenses
T1562
 
Ressources :
 
 
 
Thomasrgx 2023 - ©Tous droits réservés
badge