Le FBI met en garde contre un dangereux malware

28 sociétés à travers le monde ont été touchées jusqu’à présent.

Il y a deux semaines, le Memorial Health System, un réseau qui gère de nombreux hôpitaux en Virginie-Occidentale et en Ohio, a été touché par une attaque de ransomware qui a détruit les systèmes informatiques de trois hôpitaux. Cette attaque a entraîné la fermeture du site Web et des services en ligne de ces hôpitaux, ainsi que l’annulation de certaines opérations. Derrière l’attaque se trouvait le groupe de ransomware « Hive », qui avait déjà été remarqué une première fois en juin dernier.

Pour tenter de limiter sa progression, le FBI a publié une alerte afin de mettre en garde les entreprises contre ce ransomware. Le FBI indique que le ransomware combine différentes techniques pour compromettre ses cibles, ce qui le rend très difficile à combattre.

La cyber division du FBI a publié une alerte.

Un ransomware difficile à contrer

Parmi les méthodes utilisées pour accéder aux réseaux et s’y dissimuler, on retrouve les éternelles pièces jointes piégées et le protocole RDP (Remote Desktop Protocol), permettant de transférer ensuite les données et de se déplacer sur le réseau.

Une fois le système infecté, Hive envoie les données importantes sur un serveur distant et chiffre les données locales de l’ordinateur compromis. Les auteurs laissent ensuite une note de rançon dans les répertoires infectés afin de pousser les victimes à payer une rançon sous peine de voir les données partagées publiquement sur le site Tor « HiveLeaks ». Cette note comprend des instructions sur la procédure à suivre pour acheter le logiciel de déchiffrement et donne la possibilité aux victimes de contacter leurs agresseurs via un chat en direct.

Exemple de note de rançon laissée par les pirates.

Toutes les sauvegardes sont supprimées

Le FBI ajoute que le malware recherche les processus de sauvegarde et les antivirus tels que Windows Defender, afin de les couper complètement. Cette étape est suivie de l’utilisation d’un script « hive.bat » qui efface toutes les traces de Hive, laissant uniquement sur les ordinateurs les fichiers cryptés et la marche à suivre pour les récupérer. Un autre script « shadow.bat » se charge ensuite de supprimer les copies et les sauvegardes du système que l’utilisateur aurait pu réaliser au préalable. Les fichiers cryptés se terminent généralement par une extension « .hive ».

Des demandes de rançon par téléphone

Le FBI indique que certaines victimes ont déclaré avoir reçu des appels téléphoniques des personnes derrière Hive leur demandant d’effectuer le paiement dans un délai de 2 à 6 jours. Les pirates ont cependant systématiquement prolongé le délai après être entrés en contact avec l’entreprise victime.

Un ransomware déjà bien répandu

Jusqu’à présent, Hive a déjà touché des entreprises aux Pays-Bas, en Suisse, en Norvège, au Portugal, au Royaume-Uni et aux États-Unis, en Australie, en Chine, en Inde, au Pérou et en Thaïlande. Selon le FBI, le ransomware Hive aurait déjà pénétré plus de 28 organisations cet été, un nombre qui ne comprend cependant que les victimes qui ont refusé de payer une rançon.

Que faire lorsque l’on est touché ?

Même si cela peut sembler être une option tentante, Le FBI recommande de ne pas payer les groupes de ransomware. Dans un premier temps afin de les décourager de continuer d’opérer, mais également parce qu’il n’y a aucune garantie que l’auteur ne détruira pas les données volées au lieu de les vendre ou de les donner à des tiers, ou bien qu’il recommence par la suite. Le FBI demande également aux entreprises de signaler ces incidents afin d’aider les enquêteurs à collecter des informations critiques pouvant permettre d’ identifier les responsables de ces attaques.