Un gang de rançongiciels Hive frappe le géant gazier indonésien PGN
Hive, un gang de rançongiciels en plein essor, a frappé Perusahaan Gas Negara (PGN), la société pétrolière et gazière indonésienne soutenue par l’État. La cyberattaque survient quelques jours après que le gang a revendiqué la responsabilité d’une attaque contre un fournisseur de soins de santé américain, et montre que les entreprises doivent être sur leurs gardes contre la menace croissante posée par le groupe, en particulier pour le secteur de la santé.
La nouvelle de l’attaque contre PGN est tombée dimanche matin. Bien que la société n’ait pas encore répondu publiquement aux informations, son site Web est en panne depuis.
Le gouvernement indonésien détient une participation majoritaire dans PGN, qui fournit du gaz à 84 millions de clients.
Ruche #Ransomware l’équipe a racheté une autre grande entreprise d’énergie
Perusahaan Gas Negara est une société publique de gaz naturel exploitée par le gouvernement indonésien avec 3 milliards de dollars de revenus en Indonésie #Ruche pic.twitter.com/WTw5nsaicF
DarkFeed (@ido_cohen2) 3 avril 2022
Qui est le gang du rançongiciel Hive ?
Repéré pour la première fois par des chercheurs en sécurité en juin dernier, Hive avait ciblé 355 victimes à la fin de 2021, selon un rapport de la société de cybersécurité Group IB.
Il a été aveugle pour s’attaquer aux organisations des secteurs privé et public, déclare Diana Selck-Paulsson, chercheuse principale en sécurité chez Orange Cyberdefense. Ce qui ressort d’eux, c’est qu’ils ont vraiment un impact sur le secteur de la santé plus que tout autre groupe, dit Paulsson. Les principaux pays qu’ils frappent sont les États-Unis, le Royaume-Uni, l’Espagne et la Turquie et il y a eu au moins 16 attaques cette année à notre connaissance.
Contenu de nos partenaires
Les victimes les plus médiatisées de Hives incluent le détaillant européen d’électronique grand public MediaMarkt en novembre 2021, où Hive a exigé 50 millions de dollars en Bitcoin, et une attaque contre le Memorial Health System dans l’Ohio en août dernier, qui a perturbé les opérations cliniques et financières et aurait provoqué des opérations urgentes. annulé.
Vendredi, Hive a annoncé avoir frappé le fournisseur de soins de santé Partnership HealthPlan of California, volant 85 000 dossiers de patients et rendant l’organisation incapable de recevoir ou de traiter les demandes d’autorisation de traitement pour de nouveaux patients.
Comment fonctionne le gang de rançongiciels Hive ?
Hive est connu pour utiliser des techniques de double extorsion pour contraindre ses victimes à payer une rançon pour la clé de déchiffrement et le retour des données volées, selon un rapport de la société de cybersécurité Trend Micro.
Il dispose d’un large éventail de tactiques d’accès initiales qui lui permettent d’accéder aux systèmes des victimes, explique Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows. La méthode la plus courante semble être les implants Cobalt Strike livrés par e-mails de phishing, explique Morgan. Les balises Cobalt Strike abandonnées sont ensuite utilisées pour maintenir la persistance, se déplacer latéralement sur le réseau des victimes et télécharger la charge utile du rançongiciel Hive.
Les tactiques des gangs sont très rapides et difficiles à inverser, ajoute-t-il. Bien que les opérateurs du ransomware semblent utiliser des tactiques communes lors de l’accès initial et du mouvement latéral, la charge utile du ransomware lui-même serait un logiciel malveillant développé en interne écrit dans le langage de programmation Go qui permet des vitesses de cryptage rapides, dit Morgan. La conception du rançongiciel nécessite une entrée à partir de la ligne de commande, indiquant qu’il est destiné à être exécuté par un opérateur ou un script nécessitant les paramètres souhaités.
Un problème supplémentaire dans la lutte contre Hive est que les logiciels malveillants écrits en Go sont difficiles à désosser, ajoute Morgan, ce qui les rend difficiles à combattre. Les outils d’ingénierie inverse peuvent faire un excellent travail d’analyse des binaires écrits dans des langages plus populaires, cependant, Go crée de nouveaux défis qui rendent l’analyse plus lourde, explique-t-il.