Ransomware : Hunters International recycle à nouveau de vieilles attaques
Le groupe vient de revendiquer une cyberattaque contre le US Marshals Service. Le dernier indique que les données diffusées ne renvoient à « aucun incident nouveau ou non divulgué ». Ce seraient les mêmes que celles ayant été mises en vente en mars 2023.
Le groupe Hunters International vient de revendiquer une cyberattaque contre le US Marshals Service (USMS), éléments probants à l’appui. Par la voix de son porte-parole Brady McCarron, l’USMS indique à nos confrères du Record avoir « évalué les éléments publiés par des individus sur le dark web, qui ne semblent pas provenir d’un quelconque incident nouveau ou non divulgué ».
Mi-mars 2023, un acteur malveillant utilisant le pseudonyme tronic assurait vendre, pour 150 000 $, 350 Go de données provenant du US Marshal Service. Celles-ci auraient porté sur une période s’étalant de 2021 à février 2023.
Selon nos confrères de Bleeping Computer, les données présentées par Hunters International sont les mêmes que celles qui avaient été mises en vente l’an dernier.
Le 28 février 2023, l’USMS indiquait avoir été victime d’une cyberattaque impliquant un rançongiciel non précisé le 17 février précédent. Et de préciser que des données avaient été préalablement dérobées.
Rien ne permet, à ce stade, de déterminer si tronic est lié à Hive et/ou à Hunters International. Mais la réutilisation de données volées par des acteurs liés à Hive a déjà été constatée.
Le 4 avril 2024, Hunters International a revendiqué une cyberattaque contre Intersport France. Une telle attaque avait été revendiquée sous la bannière de Hive fin 2022 ; elle était effectivement survenue à la fin de ce mois de novembre. Lors de la nouvelle revendication, Intersport avait publiquement fait le lien. L’Italien Benetton avait fait de même à la même période, renvoyant lui aussi à une attaque de Hive, cette fois-ci survenue en janvier 2023.
En outre, si un acteur lié à Hive avait attaqué l’USMS en février 2023, il n’aurait pas eu le temps de le revendiquer. Une vaste opération de police internationale avait conduit à la saisie de l’infrastructure de cette franchise mafieuse, à la fin du mois de janvier précédent. Mais un affidé aurait pu préparer son ransomware avant cela et ne le déclencher que quelques semaines plus tard.
Hive aurait fait 1 500 victimes dans le monde, dont 58, françaises, ont été identifiées. Mais dès l’automne 2023, la franchise est revenue, avec une autre marque.