• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

Hive : FBI, CISA et HHS émettent leurs conclusions et leurs recommandations concernant le ransomware !

Le Federal Bureau of Investigation (FBI), la Cyber-sécurity and Infrastructure Security Agency (CISA) et le Department of Health and Human Services (HHS) ont publiés, dans un rapport sécuritaire, leurs conclusions et leurs recommandations quant à à la conduite à tenir vis-à-vis du ransomware Hive.

 

 

Condensé de ce rapport, émis depuis le 17 Novembre 2022 :

 

  • Nombre de victimes (Novembre 2022) : 1 300 entités ou entreprises sur la planète (Terre) pour un gain total (rançons payées) de 100 M de dollars USD ;
  • Cibles privilégiées (Juin 2021 à, “au moins“, Novembre 2022) : institutions gouvernementales, entreprises dans la communication, entreprises dans l’industrie et la manufacture “critique“, le secteur de la “technologie de l’information“, les services publiques ;
  • Infection virale initiale : accès via RDP (Remote Desktop Protocol), via VPN (Virtual Private Networks) et d’autres “protocoles de connexion-réseau à distance“. Intrusion, également, depuis la vulnérabilité relative à FortiOS (CVE-2020-12812) qui exploite l’authentification multi-facteur (détournement du token, du jeton d’authentification – FortiToken). Enfin, l’intrusion pouvait se faire par phishing (PJs vérolées) en exploitant trois failles sous Microsoft Exchange (CVE-2021-31207 + CVE-2021-34473 + CVE-2021-34523) ;
  • Masquage de l’activité du RaaS en effectuant diverses actions : arrêts de multiples processus (dont ceux liés aux anti-virus, aux sauvegardes, aux historiques de journaux-système) ;
  • Avant chiffrement : suppression des définitions anti-virus + désactivation de tout anti-virus (dont Windows Defender) depuis le registre du système ;
  • Pendant le chiffrement : création d’un fichier (*.key) racine (pas de duplication possible) + note de rançon (fichier texte avec lien .onion) “dans chaque répertoire affecté“. Selon le cas, certaines victimes avaient, à la place, des appels directement des cyber-attaquants voire des mails pour les modalités de paiement ;
  • Ex-filtration : exploitation potentielle des outils Rclone et de Mega.nz (service de stockage dans le Cloud) ;
  • Divulgation, publication : la note de rançon intègre une mention ou menace, en cas de non-paiement (diffusion sur un site Web – HiveLeaks – via réseau TOR ou depuis des “sites de partage”) ;
  • Infection potentiellement multiples, sur un poste donné avec Hive ou une variation de Hive pour les victimes ayant récupéré leurs données sans avoir payé le montant de la rançon ;
  • Rançon : montant en dollars USD (paiement en Bitcoin, crypto-monnaie).

 

 

Le bulletin sécuritaire intègre les Indicateurs de Compromissions (IoCs) ainsi que de nombreuses recommandations dont la restriction à l’accès au protocole SMB (Server Message Block)… A veiller !

 

 

 

Source : CISA – 17 Novembre 2022 – Hive : rapport sécuritaire (IoCs, conclusions et recommandations).

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.14.0