Le FBI, Europol, les autorités allemandes et néerlandaises ont mis hors service l’infrastructure du groupe de rançongiciels Hive.

Comme le ministère américain de la Justice (DOJ) l’a annoncé aujourd’hui, le FBI, en coordination avec les forces de l’ordre allemandes (l’Office fédéral allemand de la police criminelle et le quartier général de la police de Reutlingen – CID Esslingen) et l’unité néerlandaise de lutte contre la criminalité high-tech, contrôle le acquisition des serveurs et des sites Web darknet du groupe de rançongiciels Hive.

Comme l’a informé l’autorité de police de l’UE Europol, les autorités de 13 pays au total ont été impliquées dans cette opération internationale. Les forces de l’ordre ont identifié les clés de déchiffrement. Ils les ont partagés avec de nombreuses victimes afin qu’elles puissent retrouver l’accès à leurs données sans payer les cybercriminels. Ces efforts ont empêché le paiement de plus de 130 millions de dollars de rançons.

Le groupe de rançongiciels Hive est responsable de 1500 attaques sérieuses de rançongiciels

Comme l’a annoncé le DOJ, la mesure a initialement privé le groupe de ransomwares Hive de la base pour continuer à attaquer et à faire chanter les victimes avec des ransomwares.

Depuis juin 2021, Hive a apparemment lancé plus de 1 500 cyberattaques sérieuses de rançongiciels contre des entreprises de plus de 80 pays dans le monde. Dont 70 en Allemagne, plus précisément trois d’entre eux dans le Bade-Wurtemberg. Selon le DOJ, les pirates ont volé environ 130 millions de dollars en rançons. Le groupe de rançongiciels Hive a également ciblé les infrastructures de santé et informatiques critiques, y compris les hôpitaux, les compagnies de téléphone et les usines.

Le DOJ a déclaré :

« Hive a utilisé un modèle de rançongiciel en tant que service (RaaS) avec des administrateurs, également appelés développeurs, et des affiliés. RaaS est un modèle basé sur un abonnement, où les développeurs ou les administrateurs développent une souche de ransomware et créent une interface conviviale pour l’exploiter, puis recrutent des partenaires pour déployer le ransomware contre les victimes. Les partenaires ont identifié des cibles et déployé ce logiciel malveillant prêt à l’emploi pour attaquer les victimes, puis ont gagné un pourcentage sur chaque paiement de rançon réussi.

Selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, les affiliés de Hive ont eu accès aux réseaux de victimes par le biais de diverses méthodes, notamment : les connexions à facteur unique via le protocole de bureau à distance (RDP), les réseaux privés virtuels (VPN) et autres. journaux de connexion réseau à distance ; exploiter les vulnérabilités de FortiToken ; et l’envoi d’e-mails de phishing avec des pièces jointes malveillantes. »

Europol a ajouté à cet égard :

« Les partenaires ont lancé les cyberattaques, mais le rançongiciel HIVE a été créé, maintenu et mis à jour par les développeurs. Les partenaires ont utilisé le modèle dual ransomware-as-a-service. Ils ont d’abord copié les données, puis les ont chiffrées. Ils ont ensuite exigé une rançon pour le décryptage des données. Hive a publié les données des victimes n’ayant pas payé sur le site Hive Leak. Les paiements de rançon ont été répartis entre les affiliés (qui ont reçu 80%) et les développeurs (qui ont reçu 20%).

Le département d’enquête criminelle d’Esslingen a réussi à retrouver le réseau au cours de l’année écoulée. Les fonctionnaires ont ouvert des enquêtes sur une entreprise touchée basée là-bas. En conséquence, ils ont réussi « Pénétrer l’infrastructure informatique criminelle des auteurs, remonter la piste jusqu’au réseau jusqu’ici inconnu et actif à l’échelle mondiale » HIVE « et donner aux partenaires internationaux l’indice décisif ».

Le chef de la police Udo Vogel a souligné que la bonne coopération était la clé du succès :

« Une fois de plus, il a été démontré qu’une coopération intensive basée sur la confiance mutuelle au-delà des frontières nationales et des continents est la clé pour lutter efficacement contre la cybercriminalité grave. Nous sommes reconnaissants de faire partie de ce réseau extraordinaire avec des partenaires hautement professionnels et de pouvoir apporter notre contribution à de tels succès.

Le parquet de Stuttgart et la préfecture de police de Reutlingen ont informé : « Un grand nombre de serveurs ont été confisqués, les données et les comptes du réseau et de ses utilisateurs ont été sécurisés. […] L’évaluation des données saisies dans le cadre du démantèlement du réseau et de la confiscation des serveurs et les enquêtes internationales sur les suspects, les responsables du groupe et les utilisateurs du réseau criminel sont en cours. ».

Le procureur général adjoint Kenneth A. Polite, Jr. de la division criminelle du ministère de la Justice a annoncé :

« Cette action démontre l’engagement du ministère de la Justice à protéger nos communautés contre les pirates malveillants et à assurer la protection des victimes d’actes criminels. De plus, nous poursuivrons notre enquête et suivrons les acteurs derrière Hive jusqu’à ce qu’ils soient traduits en justice.