La clé de déchiffrement du rançongiciel Hive est publiée alors que le gang fait évoluer ses tactiques
Une clé de décryptage pour les logiciels malveillants déployés par le gang de rançongiciels Hive a été publiée en réponse à une augmentation de l’activité du gang au cours des trois derniers mois. Hive est également passé à un langage de codage plus complexe appelé Rust, qui est plus difficile à décrypter, ce qui rend la clé encore plus précieuse.
L’outil de déchiffrement de la version cinq du malware Hives a été publié par un analyste de malware et une ingénierie inverse connu publiquement sous le nom de reecDeep. La clé peut être trouvée sur Github et a été créée afin d’essayer de réprimer les récentes attaques croissantes du gang.
Hive a intensifié ses activités ces derniers mois, ciblant particulièrement les organisations de santé. En mai, le gang a été désigné par le département américain de la Santé et des Services sociaux comme l’un des cinq principaux gangs de cybercriminalité qui ont attaqué les services de santé au premier trimestre 2022, Hive s’attribuant le mérite de 11 % des attaques.
Parler à Moniteur technique, reecDeep a déclaré que la nature des attaques de Hives signifiait qu’ils se sentaient inspirés pour créer la clé et la rendre accessible au public. Des dizaines d’entreprises cessent de faire des affaires à cause de gangs de criminels. Les hôpitaux sont touchés par les perturbations et sont incapables de fournir des soins à leurs patients, ont-ils déclaré.
Hive a été repéré pour la première fois en juin de l’année dernière, et en 2021, le gang a attaqué plus de 350 entreprises, principalement dans les secteurs de la santé et de la finance, selon un rapport de la société de sécurité Group IB.
Allan Liska, chef de l’équipe de réponse aux incidents de sécurité informatique de la société de sécurité Recorded Future, a déclaré que le gang avait été encore plus occupé cette année. Depuis mai 2022, Hive a représenté 6,8 % de toutes les publications sur les sites d’extorsion, ce qui les place à égalité au deuxième rang des groupes les plus actifs avec Black Cat, ce qui est certainement un saut notable, dit Liska.
Le gang a également récemment mis à jour son langage de codage en Rust, qui est beaucoup plus difficile à désosser. « Le logiciel malveillant utilisé par Hive étant écrit dans le langage de programmation Rust améliore la capacité du gang à ne pas être détecté », explique Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows.
Contenu de nos partenaires
Les améliorations constantes de Hive sont en fait une refonte, selon un rapport du Threat Intelligence Center de Microsoft : Les changements les plus notables incluent une migration complète du code vers un autre langage de programmation et l’utilisation d’une méthode de cryptage plus complexe. L’impact de ces mises à jour est considérable. Il offre une mémoire, un type de données et une sécurité des threads et un contrôle approfondi des ressources de bas niveau, indique le rapport.
Hive a-t-il des liens vers Conti ?
L’utilisation mise à jour du langage de programmation Rust à partir de son langage initial GoLang montre non seulement la polyvalence des gangs, mais pourrait également trahir des liens vers Conti. Le gang de rançongiciels s’est dissous après son attaque soutenue contre le gouvernement costaricien plus tôt cette année, ses membres pensant rejoindre des gangs rivaux.
BlackCat et Hive étaient deux gangs qui, selon les chercheurs, s’attaqueraient aux membres de Conti, et depuis que Conti a disparu de la scène, les deux ont mis à jour l’utilisation de Rust. Cela signifie probablement que les deux ont embauché des membres de Conti, dit Liska.