Qu’est-ce qui vient de se passer? Dans ce qui pourrait être décrit comme magnifiquement ironique, un gang notoire de rançongiciels en tant que service (RaaS) a été abattu après que le FBI a infiltré ses systèmes, interrompu ses opérations et saisi ses sites. Ou, comme l’a dit le procureur général adjoint des États-Unis, ils « ont piraté les pirates ».
S’exprimant lors d’une conférence de presse, le procureur général des États-Unis Merrick Garland, le directeur du FBI Christopher Wray et le procureur général adjoint des États-Unis Lisa Monaco ont annoncé que le gouvernement avait secrètement infiltré les réseaux du gang de rançongiciels Hive en juillet 2022 avant de lancer une opération de surveillance de six mois.
Au cours de cette infiltration, le gouvernement a pu voler plus de 300 clés de déchiffrement à Hive et les distribuer aux victimes attaquées, empêchant environ 130 millions de dollars de paiements de rançon, dont 5 millions de dollars d’un district scolaire du Texas. Les autorités fédérales ont également distribué plus de 1 000 clés de décryptage supplémentaires aux précédentes victimes de Hive.
Le FBI a utilisé son accès à l’infrastructure de Hive pour avertir les cibles des attaques imminentes, leur donnant le temps de renforcer leurs systèmes et de se préparer. Les sites de paiement Tor et de fuite de données de Hive ont également été saisis.
Selon Ordinateur qui bipe, le FBI a eu accès à deux serveurs dédiés et à un serveur privé virtuel chez un fournisseur d’hébergement en Californie qui ont été loués à l’aide d’adresses e-mail appartenant aux membres de Hive. Dans un mouvement coordonné, la police néerlandaise a également obtenu l’accès à deux serveurs de sauvegarde dédiés hébergés aux Pays-Bas. Les forces de l’ordre ont confirmé que ces serveurs servaient de site principal de fuite de données, de site de négociation et de panneaux Web pour Hive et ses affiliés.
Selon l’affidavit : « En plus des clés de déchiffrement, lorsque le FBI a examiné la base de données trouvée sur le serveur cible 2, le FBI a trouvé des enregistrements de communications Hive, des valeurs de hachage de fichiers malveillants, des informations sur les 250 affiliés de Hive et des informations sur les victimes compatibles avec les informations. il avait précédemment obtenu grâce à l’opération de clé de déchiffrement. »
Un message du FBI (ci-dessus) sur le site Web Hive Tor saisi note que de nombreux pays ont été impliqués dans le retrait coordonné, notamment l’Allemagne, le Canada, la France, la Lituanie, les Pays-Bas, la Norvège, le Portugal, la Roumanie, l’Espagne, la Suède et le Royaume-Uni. .
« En utilisant des moyens légaux, nous avons piraté les pirates », a déclaré Monaco aux journalistes. « Nous avons renversé la situation sur Hive. »
Hive, qui a été lancé en juin 2021, a ciblé plus de 1 500 victimes dans 80 pays différents tout au long de son existence. Comme avec d’autres organisations RaaS, il a loué le logiciel malveillant à d’autres criminels pour une part de la rançon.
Le gang avait collecté plus de 100 millions de dollars en paiements de rançongiciels, et bien qu’aucune arrestation n’ait été annoncée, un responsable du département a suggéré que cela changerait bientôt. Contrairement à d’autres opérateurs de rançongiciels, Hive n’a jamais déclaré son intention d’éviter de cibler les hôpitaux ou les services d’urgence.
Crédit d’en-tête : Sébastien Stam