Les pirates derrière le ransomware Hive ont subi un sérieux revers. Le FBI est en effet parvenu à pénétrer dans l’infrastructure du gang pour couper leur source de revenus.
En partenariat avec Europol et les autorités de plusieurs pays, le FBI (Federal Bureau of Investigation) a démantelé un dangereux gang de pirates spécialisés dans les ransomwares, Hive (aussi appelé Hive Spider).
Dans un communiqué publié ce jeudi 26 janvier, la police fédérale américaine explique avoir infiltré une partie de l’infrastructure des hackers russes l’été dernier. Au total, 13 pays ont été impliqués dans l’opération : France, Allemagne, États-Unis, Irlande, Lituanie, Norvège, Portugal, Roumanie, Canada, Espagne, Suède, Pays-Bas et Grande-Bretagne.
Le FBI coupe les revenus de Hive
Le groupe Hive est actif depuis juin 2021, nous explique Adam Meyers, responsable chez l’entreprise américaine de cybersécurité Crowdstrike. Le gang russophone est surtout connu pour avoir mis au point un ransomware du même nom. Les hackers en font la promotion « par le biais de messages privés et de forums criminels », détaille l’expert.
C’est grâce à ce virus informatique que les criminels tiraient l’essentiel de leurs revenus. Le logiciel est en effet vendu à d’autres escrocs en échange d’un abonnement. Sans surprise, Hive utilisait aussi le virus pour s’attaquer directement à des entreprises.
On se souviendra d’ailleurs que le groupe Altice (SFR, BFM, RMC) a été victime des hackers en septembre dernier. Selon Zataz, Hive s’est également attaqué à la British Columbia Institute Of Technology, à Hyundai Samho Heavy Industries Co. Ltd. et au ministère des Affaires étrangères d’Indonésie depuis son apparition en 2021. Grâce au malware, les pirates prenaient en otage les données informatiques des sociétés. Pour récupérer les données, la victime était obligée de verser une rançon en cryptomonnaies.
En s’infiltrant dans le système de Hive, les agents du FBI ont pu s’emparer des clés de déchiffrement qui bloquent les données des victimes. Grâce à ces clés, plus de 1 300 victimes ont pu récupérer leurs données sans s’acquitter de la rançon exigée par les pirates. Parmi les cibles auxquelles le FBI est venu en aide, on trouve des hôpitaux et des cliniques, notamment en dehors des États-Unis. L’opération a privé le gang de 130 millions de dollars de revenus.
En s’appuyant sur les informations dénichées dans les systèmes de Hive, le FBI a par ailleurs pu avertir les futures cibles du gang avant l’attaque. Pendant l’enquête, les agents se sont par exemple rendu compte que Hive s’apprêtait à lancer une attaque sur une université américaine. L’établissement a été prévenu et ses équipes informatiques ont bloqué l’intrusion avec l’aide du FBI. Malgré tout, l’agence fédérale est parvenue à cacher sa présence dans les systèmes de Hive jusqu’au coup de filet final.
Un portail de négociation saisi
Comme l’explique Adam Meyers, Hive utilisait un site dédié pour échanger avec ses victimes, négocier les rançons et rendre les données bloquées. Ce « portail de négociation » a été saisi par les forces du FBI ce 25 janvier lors d’une vaste opération. Désormais, le site web affiche un encart explicatif bardé du logo de plusieurs organismes de maintien de l’ordre :
« Le site a été saisi. Le bureau fédéral d’investigation a saisi le site lors d’une action conjointe contre le site de ransomware Hive ».
Plusieurs serveurs ont été saisis et les plates-formes de Hive sur le dark web sont tombées. Il s’agit d’un « revers majeur pour les opérations de cette organisation », indique l’expert de Crowdstrike :
« Les groupes affiliés à HIVE SPIDER devront recourir à d’autres moyens de communication avec leurs victimes et donc trouver d’autres solutions pour publier les données relatives aux victimes ».
Comme le souligne Zataz, rien n’indique actuellement que les pirates aient été arrêtés par le FBI. De facto, il est toujours possible que le gang refasse surface par le biais de nouvelles plates-formes, et sous un nouveau nom, à l’avenir.
source : 01net