© Bacho / Shutterstock
© Bacho / Shutterstock

Après des mois d'infiltration et avec l'aide d'autres pays, le FBI a annoncé le démantèlement du groupe cybercriminel Hive. C'est, pour le moment, la fin de l'un des groupes les plus dangereux dans le domaine du rançongiciel.

L'opération a permis aux victimes d'éviter de dépenser plus de 120 millions de dollars de rançon en leur fournissant un grand nombre de clés de décryptage.

La rançon virtuelle, un véritable fléau

Dans le cadre d'une grande opération internationale, les autorités américaines et européennes ont annoncé le 26 janvier 2023 avoir mis fin aux activités de l'un des principaux réseaux de rançongiciel en activité. Si vous ignorez ce qu'est un rançongiciel ou un ransomware, il s'agit d'un programme exécuté à distance qui va crypter les données présentes sur un ordinateur. Pour en récupérer l'accès, les victimes doivent payer une certaine somme, en échange de quoi une clé de décryptage est, avec un peu de chance, fournie.

Le groupe Hive était accusé d'avoir attaqué environ 1 500 organisations dans 80 pays différents. Près de 100 millions d'euros ont été versés par les victimes, ce qui démontre la redoutable efficacité du procédé. Pour mettre fin aux agissements des hackers, le FBI a collaboré avec Europol pour infiltrer leurs activités et étudier de près ce qu'il se passait. « En termes simples, en utilisant des moyens légaux, nous avons piraté les pirates », a déclaré Lisa Monaco, procureure générale adjointe des États-Unis.

Après plusieurs mois d'infiltration qui ont permis de récupérer plus de 300 clés de déchiffrage, les infiltrés ont agi et détruit le modèle économique de Hive de l'intérieur. Ce faisant, 336 entités ont pu retrouver l'accès à leurs données, empêchant les cybercriminels de récupérer plus de 120 millions d'euros.

Hive, un réseau complet et très bien organisé

Hive utilisait une méthode appelée ransomware as-a-service, c'est-à-dire que le groupe concevait et vendait les ransomwares à des affiliés, qui déployaient l'outil et faisaient ensuite chanter leurs victimes. De son côté, Hive récupérait 20 % des sommes versées tout en diffusant les données sur HiveLeaks si quelqu'un refusait de payer. Du phishing à l'exploitation des failles de sécurité, tout était bon pour accéder aux serveurs et aux ordinateurs pour en chiffrer les données. Le groupe aurait d'ailleurs attaqué un centre hospitalier de Louisiane, affectant les données de presque 300 000 patients.

Durant l'infiltration, le FBI et ses alliés ont trouvé plus de 1 000 clés de cryptage liées à d'anciennes victimes. Le directeur du FBI, Christopher Wray, estime que seuls 20 % des victimes ont contacté les autorités. Nombreuses d'entre elles se seraient abstenues par peur des représailles, mais le FBI les invite à se manifester car « cela peut faire toute la différence ».

En France, 58 organisations auraient été victimes des ransomwares de Hive. Siècle Digital rapporte par exemple que le conseil départemental de Seine-Maritime avait perdu l'accès à 62 To de données. Grâce au travail de l'Agence nationale de la sécurité des systèmes d'information et de la police, l'accès a finalement pu être récupéré.

Source : The Verge