Les autorités américaines ont annoncé, jeudi 26 janvier, une opération internationale, en partenariat avec Europol, l’Allemagne et les Pays-Bas, contre Hive, l’un des groupes les plus actifs dans le secteur du rançongiciel. Comme beaucoup d’autres gangs cybercriminels, Hive travaille avec des pirates informatiques pour attaquer les réseaux informatiques d’entreprises, paralyser ceux-ci en chiffrant les fichiers des machines à l’aide d’un logiciel malveillant, puis demander une rançon à ses victimes.
Les enquêteurs fédéraux sont parvenus, en juillet 2022, à s’infiltrer dans une partie de l’infrastructure utilisée par Hive et ses partenaires pour mener à bien leurs opérations. Ils ont ainsi pu obtenir, en direct, des clés de déchiffrement gardées secrètes et censées être confiées aux victimes uniquement si elles venaient à payer la rançon demandée.
« Le FBI a fourni plus de 300 clés de déchiffrement à des victimes de Hive qui étaient en train de subir une attaque », a expliqué le département de la justice dans un communiqué, ajoutant que cette action avait permis d’empêcher le groupe de récupérer près de 130 millions de dollars de rançons. Les autorités américaines ont cité l’exemple d’un hôpital étranger qui s’était vu remettre discrètement la clé de déchiffrement avant même que les négociations entre le personnel et les pirates de Hive commencent.
Des victimes averties à temps
Cette infiltration a également permis aux autorités fédérales de prévenir les entités qui étaient ciblées par le groupe. Au cours d’une conférence de presse organisée jeudi, le directeur du FBI, Christopher Wray, a donné l’exemple d’une université américaine visée par un ou des pirates affiliés à Hive. Alors que les suspects étaient en phase initiale d’intrusion et n’avaient pas encore déployé le logiciel malveillant, les enquêteurs ont pu alerter les équipes informatiques et leur « donner des informations tactiques » afin qu’elles puissent éjecter les attaquants de leur réseau. Enfin, 1 000 clés de déchiffrement ont également été fournies à d’anciennes victimes de Hive par les autorités.
Cette mission d’infiltration s’est achevée, pendant la nuit du mercredi 25 au jeudi 26 janvier, par la saisie de plusieurs serveurs utilisés par Hive et par la mise hors ligne des sites du groupe sur le darknet.
Selon les estimations des autorités américaines, le groupe a, depuis son apparition en juin 2021, fait plus de 1 500 victimes dans le monde et empoché plus de 100 millions de dollars de rançon. En France, Hive est connu pour avoir attaqué Altice et dérobé des données internes du groupe, et plus récemment pour avoir mené une attaque contre une partie du réseau de la chaîne Intersport.