Démantèlement du réseau cybercriminel Hive lié aux ransomwares

0
305

C’est un coup d’éclat dans la lutte contre la cybercriminalité. Grâce à la coopération entre FBI, Europol, et des polices allemandes et néerlandaises, “Hive”, le plus important réseau mondial de cybercriminels exploitant des ransomwares a été démantelé.

Alors que les attaques de rançongiciel explose dans le monde, le réseau mondial baptisé « Hive », accusé d’avoir pris pour cible plus de 1 500 entités dans 80 pays et extorqué des millions de dollars aux victimes a été officiellement démantelé au cours de l’opération Dawnbreaker, et l’information a été confirmée par le ministre Merrick Garland lors d’une conférence de presse à Washington.

La collaboration mondiale des autorités a été totale, et beaucoup de pays sont impliqués : Etats-Unis, Allemagne, Canada, France, Lituanie, Pays-Bas, Norvège, Portugal, Roumanie, Espagne, Suède, Irelande et Royaume-Uni.

Détecté pour la première fois en juin 2021, le groupe criminel Hive est accusé d’avoir collecté plus de 100 millions de dollars de rançon. Parmi les principales victimes, on dénombre notamment des hôpitaux américains, la chaîne allemande de magasins d’électronique Telemarkt ou encore le géant indien Tata.

A la suite de l’opération d’envergure, les serveurs Tor du groupe cybercriminels ont été saisis et la police fédérale a pris le contrôle de son site sur le darkweb (Hive était basé sur le modèle ransomware-as-a-service, RaaS). Les autorités ont infiltré le réseau petit à petit en coupant les transferts de fonds des rançons potentielles puis en piratant le réseau pour s’y introduire. Ainsi, au mois de juin, le FBI avait réussi à pénétrer dans les réseaux de Hive et avait récupéré près de 1 300 clés de chiffrement, par la suite offertes aux victimes dans le monde entier, permettant d’éviter le paiement de 130 millions de dollars de rançons et de récupérer leurs données, coupant ainsi l’herbe sous le pied des cybercriminels.

Le principe de fonctionnement ? Après s’être infiltrés dans un système informatique, les pirates utilisent le rançongiciel pour chiffrer très fortement les données des entreprises et exigent un paiement pour les débloquer. Dans certains cas, ils exfiltrent aussi les données avant chiffrement pour pouvoir les exploiter ou les diffuser / revendre.

Selon la Cybersecurity and Infrastructure Security Agency (CISA) aux États-Unis, les affiliés de Hive ont obtenu un accès initial aux réseaux des victimes grâce à un certain nombre de méthodes, notamment : des connexions à facteur unique via le protocole de bureau à distance (RDP), des réseaux privés virtuels (VPN) et d’autres protocoles de connexion réseau à distance ; exploiter les vulnérabilités de FortiToken ; et en envoyant des e-mails de phishing avec des pièces jointes malveillantes.

Notons que le taux de plaintes pour attaques de ransomwares reste très faible, seul 20% des victimes de Hive avaient porté plainte… Le département d’État américain offre jusqu’à 10 millions de dollars pour des informations qui pourraient aider à relier le groupe de rançongiciels Hive (ou d’autres acteurs de la menace) à des gouvernements étrangers.

Kurt Baumgartner, Principal Security Researcher chez Kaspersky, commente cette actualité :

« La fréquence des attaques ransomwares n’a cessé d’augmenter, alors qu’en parallèle la part des rançons payées par les victimes a quant à elle baissé. C’est une tendance très positive, et nous souhaitons voir plus d’actions coordonnées entre les forces de l’ordre de différents pays à l’avenir. Si une part de ces stratégies consiste à laisser les activités suivre leur cours et peut apparaître comme une méthode controversée, il faut comprendre que la production de clés de déchiffrement pour les victimes sur une longue période permet d’épuiser les ressources du groupe d’attaquants.

Oui, selon toute vraisemblance, un autre groupe va rapidement combler le vide ainsi laissé. Cela demande du temps et des efforts, mais ces opérations se chiffrent en centaines de millions de dollars.

Il est quelque peu surprenant que le groupe ait placé ses ressources de serveur aux États-Unis, à Los Angeles. Il sembleraient qu’ils pensaient ces dernières étaient en sécurité, cachées par le réseau Tor. Les forces de l’ordre ont démontré des capacités impressionnantes en infiltrant, saisissant et perturbant certaines des ressources du gang. Les acteurs du groupe ont fait preuve d’un mépris total pour la vie humaine en s’attaquant à des écoles et des hôpitaux.

Nous appelons les gens à ne jamais payer les rançons s’ils sont victimes de ransomware, et à vérifier sur le site nomoreransom.org s’il existe une clé de déchiffrement pour débloquer leurs données. »