“Le contrôle des serveurs et des sites Web” : le DoJ et le FBI, en co-opération avec d’autres pays, ont annoncé l’interception du cyber-groupe Hive !

Actualités, Buzz du moment, Internet, Loi \ Droit informatique, Sécurité

Dans un communiqué du 26 Janvier 2023, le Département de la Justice (DoJ) américain vient de confirmer avoir intercepté et contrôlé les cyber-attaquants à l’origine de Hive ainsi que leurs activités. Spécialisés dans les cyber-attaques par ransomware, ils faisaient l’objet d’une infiltration par les services fédéraux depuis fin Juillet 2022 pour avec, depuis Juin 2021, quelques 1 500 victimes décomptées sur la planète entière pour un montant de dommages estimé à plus de 100 M de dollars USD, en terme de demandes (avec aboutissement vers paiement) de rançon.

“Depuis fin juillet 2022, le FBI a pénétré les réseaux informatiques de Hive, capturé ses clés de déchiffrement et les a proposées aux victimes du monde entier, évitant ainsi aux victimes de payer 130 millions de dollars de rançon exigée. Depuis qu’il a infiltré le réseau de Hive en juillet 2022, le FBI a fourni plus de 300 clés de déchiffrement aux victimes de Hive qui étaient attaquées. De plus, le FBI a distribué plus de 1 000 clés de déchiffrement supplémentaires aux précédentes victimes de Hive. Enfin, le département a annoncé aujourd’hui qu’en coordination avec les forces de l’ordre allemandes (la police criminelle fédérale allemande et le quartier général de la police de Reutlingen – CID Esslingen) et l’unité néerlandaise de lutte contre la criminalité high-tech, il a pris le contrôle des serveurs et des sites Web que Hive utilise pour communiquer avec ses membres […] Hive a utilisé un modèle de rançongiciel en tant que service (RaaS) avec des administrateurs, parfois appelés développeurs, et des affiliés. RaaS est un modèle basé sur un abonnement où les développeurs ou les administrateurs développent une souche de ransomware et créent une interface facile à utiliser avec laquelle l’exploiter, puis recrutent des affiliés pour déployer le ransomware contre les victimes” est-il rappelé, en rétrospective sécuritaire.

“À l’insu de Hive, lors d’une cybersurveillance du 21e siècle, notre équipe d’enquêteurs a infiltré légalement le réseau de Hive et s’y est caché pendant des mois – en glissant à plusieurs reprises les clés de déchiffrement et en les transmettant aux victimes pour les libérer des ransomwares […] Si vous ciblez des victimes ici aux États-Unis, le ministère de la Justice vous ciblera“, complète la sous-Procureure générale Lisa O. Monaco, au cours d’une allocution relative à l’action judiciaire à l’encontre de Hive, le 26 Janvier 2023.

Tout comme les autres schémas de ransomware, une clé de déchiffrement, une fois les données-système chiffrées, était à obtenir des cyber-attaquants moyennant une somme conséquence, en échange des données ex-filtrées (souvent sensibles). Dans le cas où la victime ne paye pas, les données sont divulguées publiquement, sur l’Internet. Ces données étaient subtilisées par divers moyens, concernant Hive : depuis le RDP (Remote Desktop Protocol), depuis un VPN (Virtual Private Networks) ou bien d’autres types de protocoles-réseau distant. Les vulnérabilités (comme FortiToken) étaient exploitées, également, pour s’instiller dans le système des victimes ciblées, suivant l’état de mise à jour ou non dudit système.

Cette opération a été menée, conjointement avec le FBI (Etats-Unis), avec Europol, Reutlingen-CID Esslingen (Allemagne, Police fédérale), le Canada (Peel Regional Police), la France, l’Italie, la Norvège (service national d’enquêtes criminelles + district de police d’Oslo), le Portugal, la Roumanie, l’Espagne, la Suède, le Royaume-Uni (National Crime Agency) ainsi que les services secrets américains… A veiller !

Sources :