Le ministère de la justice américain a révélé que le FBI avait obtenu un accès profond au groupe de ransomware Hive à la fin du mois de juillet 2022. Les agents ont pu prévenir les victimes d'attaques imminentes et ils ont également donné plus de 300 clés de déchiffrement aux personnes piratées, leur permettant d'économiser, selon leurs estimations, plus de 130 millions de dollars .
Les gangs de ransomware utilisent des logiciels malveillants qui chiffrent les fichiers des victimes, les verrouillant et les rendant inaccessibles à moins qu'une rançon ne soit versée pour obtenir une clé de déchiffrement. Les États-Unis ont révélé qu'ils avaient infiltré le gang prolifique de cybercriminels pour saboter secrètement leurs attaques de piratage pendant plus de six mois, grâce à une action conjointe américano-allemande. Le procureur général Merrick Garland a déclaré pendant la conference de jeudi : « Hier soir, le ministère de la Justice a démantelé un réseau international de ransomware responsable d'avoir extorqué et tenté d'extorquer des centaines de millions de dollars à des victimes aux États-Unis et dans le monde entier ».
Parmi les victimes de Hive figuraient des hôpitaux et des établissements scolaires. Le gang des ransomwares est connu pour cibler les organismes de santé. Au cours de l'enquête, les données reçues des sites web ont été remises aux victimes provenant de 80 pays à travers le monde.
Les pirates informatiques du gouvernement américain ont utilisé des méthodes legales pour s'introduire dans le réseau de Hive afin de mettre le gang sous surveillance, ont informé Merrick Garland, Christopher Wray, et Lisa Monaco, lors de la conférence de presse tenue jeudi. Cela a permis au gouvernement d'avoir accès aux clés numériques utilisées par le groupe pour déverrouiller les données de l'organisation victime. « En utilisant des moyens légaux, nous avons piraté les hackers », a déclaré Monaco aux journalistes. « Nous avons retourné la situation contre Hive », ont-ils ajouté.
La nouvelle du démantèlement a été divulguée pour la première fois lorsque le site Web de Hive a été remplacé par un message clignotant : « Le Federal Bureau of Investigation a saisi ce site dans le cadre d'une action coordonnée des forces de l'ordre contre le ransomware Hive ».
Dans une déclaration de la police de l'État de Bade-Wurtemberg, le commissaire de police allemand, Udo Vogel, a déclaré qu'une coopération intensive au-delà des frontières nationales et des continents, renforcée par la confiance mutuelle, est la clé de la lutte contre la cybercriminalité. Les serveurs de Hive ont également été saisis par la police criminelle fédérale allemande et la National High Tech Crime Unit néerlandaise. Le récent piratage du gang de ransomware par les autorités américaines est différent des précédents cas de ransomware très médiatisés car, cette fois, les victimes n'ont pas eu à payer la rançon.
Le gouvernement américain a déjà sévi contre les pirates informatiques, à l'instar d'une cyberattaque menée en 2021 contre la Colonial Pipeline Co, qui s'est soldée par la saisie d'une rançon de quelque 2,3 millions de dollars en crypto-monnaies alors que l'entreprise avait déjà effectué le paiement aux pirates. Cette fois, le gouvernement a pu intervenir avant que Hive ne soit en mesure d'exiger les paiements. L'infiltration sous couverture, qui a commencé en juillet 2022, n'a pas été détectée par le gang jusqu'à présent.
Selon le ministère américain de la Justice, Hive a ciblé plus de 1500 victimes dans 80 pays et a collecté plus de 100 millions de dollars en paiements de ransomware. Le chercheur canadien Brett Callow, de la société de cybersécurité Emsisoft, a déclaré dans un courriel qu'il s'agissait « de l'un des groupes les plus actifs, sinon le plus actif ». Les forces de l'ordre internationales s'efforcent depuis des années de vaincre le fléau des ransomwares, qui paralysent périodiquement les entreprises, les organismes publics et, de plus en plus, les infrastructures critiques.
En l'absence d'arrestations, les pirates de Hive vont probablement bientôt « s'installer sous une autre marque ou être recrutés par d'autres groupes RaaS », a déclaré Jim Simpson, directeur des renseignements sur les menaces à la société britannique Searchlight Cyber. « Hive est l'un des groupes les plus actifs, si ce n'est le plus actif », a-t-il déclaré également.
Le DOJ a déclaré qu'il poursuivrait les personnes derrière Hive jusqu'à ce qu'elles soient traduites en justice. « Une bonne opération secrète peut dégrader la confiance dans la sécurité opérationnelle et susciter la suspicion parmi les acteurs », a déclaré John Hultquist, responsable de Mandiant Threat Intelligence. Mais il ajoute : « Tant que le groupe n'est pas arrêté, il ne disparaîtra jamais vraiment. Ils devront se reconstituer, ce qui prend du temps, mais je parie qu'ils réapparaîtront avec le temps ». L'avis de saisie qui figure désormais sur les sites Web de l'équipe Hive
« Nous nous attendons à ce que des initiatives comme celle-ci ne fassent que se renforcer entre les cyber-puissances alliées, afin de garantir que les gouvernements, les organisations et les citoyens soient mieux protégés », a déclaré Kim Wiles, expert en cyber-services gouvernementaux de Nominet.
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Le gang des ransomwares REvil disparaît du Web après l'avertissement de Joe Biden, ses sites Web ont été mis hors ligne mardi matin et personne ne sait exactement pourquoi
Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées