Ce jeudi 26 janvier 2023 a eu lieu le démantèlement du deuxième groupe (derrière Lockbit) le plus actif de ransomware sur l’année précédente : Hive. En 2022, ce ransomware a été identifié comme l’une des menaces les plus importantes ciblant des infrastructures critiques en Europe et aux Etats-Unis. Hive a ainsi attaqué plus de 1500 entreprises réparties dans plus de 80 pays depuis le mois de Juin 2021 et les rançons collectées représentent environ 100 millions d’euros de pertes pour ces entreprises. Le groupe Hive comporte des affiliés pour mener à bien ses opérations malveillantes et utilise la méthode de double extorsion : une phase de copie des données et une phase de chiffrement des informations.
L’opération a été menée par Europol avec le soutien de 13 pays dont la France, l’Allemagne et les Etats-Unis. Le démantèlement de ce groupe a commencé de nombreux mois auparavant avec l’infiltration du FBI dans le réseau de Hive pour récupérer plus de 300 clés de déchiffrement livrées aux victimes pour ainsi prévenir le paiement de plus de 130 millions de dollars de rançon.
En complément, le département d’État des États-Unis offre une récompense de jusqu’à 10 millions de dollars pour toute information susceptible de conduire à la localisation ou l’identification de toute personne ayant contribué à des actions malveillantes contre les infrastructures critiques des Etats-Unis.
Voici les Indicateurs de Compromission (IoCs) relevés par le FBI ainsi que les techniques MITRE ATT&CK :
Known IOCs - Files | Known IOCs – Events | Known IOCs – Logged Processes | Potential IOC IP Addresses for Compromise or Exfil: |
HOW_TO_DECRYPT.txt typically in directories with encrypted files | System, Security and Application Windows event logs wiped | wevtutil.exe cl system | 84.32.188[.]57 |
*.key typically in the root directory, i.e., C:\ or /root | Microsoft Windows Defender AntiSpyware Protection disabled | wevtutil.exe cl security | 93.115.26[.]251 |
hive.bat | Microsoft Windows Defender AntiVirus Protection disabled | wevtutil.exe cl application | 181.231.81[.]239 |
shadow.bat | Volume shadow copies deleted | vssadmin.exe delete shadows /all /quiet | 186.111.136[.]37 |
asq.r77vh0[.]pw - Server hosted malicious HTA file | Normal boot process prevented | wmic.exe SHADOWCOPY /nointeractive | 158.69.36[.]149 |
asq.d6shiiwz[.]pw - Server referenced in malicious regsvr32 execution | wmic.exe shadowcopy delete | 108.62.118[.]190 | |
asq.swhw71un[.]pw - Server hosted malicious HTA file | bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures | 185.247.71[.]106 | |
asd.s7610rir[.]pw - Server hosted malicious HTA file | bcdedit.exe /set {default} recoveryenabled no | 5.61.37[.]207 | |
Windows_x64_encrypt.dll | 185.8.105[.]103 | ||
Windows_x64_encrypt.exe | 5.199.162[.]220 | ||
Windows_x32_encrypt.dll | 5.199.162[.]229 | ||
Windows_x32_encrypt.exe | 89.147.109[.]208 | ||
Linux_encrypt | 5.61.37[.]207 | ||
Esxi_encrypt | 5.199.162[.]229; | ||
46.166.161[.]123; | |||
46.166.162[.]125 | |||
83.97.20[.]81 | |||
84.32.188[.]57 | |||
93.115.25[.]139; | |||
93.115.27[.]148 | |||
158.69.36[.]149/span> | |||
185.8.105[.]67 | |||
185.8.105[.]112 | |||
186.111.136[.]37 |
Initial Access | Exfiltration | ||
External Remote Services | T1133 | Transfer Data to Cloud Account | T1537 |
Exploit Public-Facing Application | T1190 | Impact | |
Phishing | T1566.001 | Data Encrypted for Impact | T1486 |
Execution | Inhibit System Recovery | T1490 | |
Command and Scripting Interpreter | T1059 | ||
Defense Evasion | |||
Indicator Removal on Host | T1070 | ||
Modify Registry | T1112 | ||
Impair Defenses | T1562 |
Ressources :
Thomasrgx 2023 - ©Tous droits réservés
