Les autorités allemandes, néerlandaises et américaines avec l’aide d’Europol ont annoncé hier avoir fermé les serveurs du réseau Hive et avoir fourni aux victimes les outils de décryptage.
Depuis juin 2021, ce sont plus de 1 500 entreprises de plus de 80 pays du monde entier ont été victimes de HIVE et ont perdu près de 100 millions d’euros en paiements de rançon. Hive est une sorte de prestataire de Ransomware as a Service en ce sens qu’il met sa technologie et ses compétences au service de cybercriminels. Un modèle économique qui inclut même la gestion de la rançon et son dispatch une fois perçue. Le ransomware a ciblé un large éventail d’entreprises et de secteurs d’infrastructures critiques, notamment des installations gouvernementales, des entreprises de télécommunication, des industries manufacturières, des technologies de l’information et de santé. Au cours d’une opération internationale impliquant les autorités de 13 pays (Canada, France, Allemagne, Irlande, Lituanie, Pays-Bas, Norvège, Portugal, Roumanie, Espagne, Suède, Royaume-Uni et États-Unis), les forces de l’ordre ont identifié les clés de décryptage et les ont partagées avec de nombreuses victimes, les aidant ainsi à retrouver l’accès à leurs données sans payer les cybercriminels évitant ainsi le paiement de plus de 130 millions de dollars US, soit l’équivalent d’environ 120 millions d’euros de rançons.
Des pirates piratés
“Réussir à coordonner autant de force témoigne de l’importance du problème, précise Olivier Caleff, responsable gestion de crise et cyber résilience chez Erium. On ne peut que se réjouir de constater que la coopération internationale a été une réussite. On a aujourd’hui le résultat d’une investigation policière poussée avec infiltration qui est couronnée de succès. Depuis juillet 2022, des agents du FBI avaient, en effet, réussi à infiltrer le réseau Hive. La discrétion a d’ailleurs été de mise car les informations communiquées par le CISA en Novembre sur Hive, ont fait comme si de rien n’était. “Ce qui est aussi important à noter, c’est que parmi les 1300 clés de chiffrement remises aux victimes, 300 concernaient des attaques antérieures. Si ce n’est pas déjà fait, il faut intégrer dans les procédures de gestion de crise suite à une attaque de type rançongiciel, la sauvegarde des données chiffrées. Se dire que tout est perdu et qu’il faut redémarrer au plus vite en écrasant tout pour réinstaller les données sauvegardées (si elles sont disponibles…) c’est se priver d’un éventuel joker pour récupérer toutes les données.”, ajoute Olivier Caleff.
Europol, un rôle indispensable de coordination
Durant toute la procédure, Europol a joué un rôle de facilitateur dans l’échange d’informations, soutenu la coordination de l’opération et financé des réunions opérationnelles au Portugal et aux Pays-Bas. L’Agence Européenne a également fourni un soutien analytique en reliant les données disponibles à diverses affaires criminelles au sein et en dehors de l’UE. Elle a, par ailleurs, soutenu l’enquête par le biais de crypto-monnaies, de logiciels malveillants, de décryptage et d’analyses médico-légales. Lors des journées d’action, quatre experts d’Europol ont été déployés pour aider à coordonner les activités sur le terrain. La task-force conjointe d’action contre la cybercriminalité (J-CAT) d’Europol a également soutenu l’opération. Cette équipe opérationnelle permanente est composée d’officiers de liaison issus de différents pays et rattachés aux grandes enquêtes.
Un de perdu… 10 de retrouvés ?
“Bien que cela puisse signifier la fin du groupe Hive ransomware, ses membres et affiliés restent une menace, rappelle Satnam Narang, Senior Staff Research Engineer chez Tenable. S’il y a une chose que nous avons apprise après les actions perturbatrices menées par le passé contre les groupes de ransomware, c’est que d’autres groupes s’élèvent pour combler le vide laissé derrière eux. Les affiliés, qui sont généralement responsables de la plupart de ces attaques, peuvent facilement se tourner vers d’autres programmes d’affiliation qui restent opérationnels, et les membres de groupes ransomware peuvent également transmettre leurs connaissances à ces groupes. L’un des principaux moyens par lesquels les groupes de ransomware gagnent en attention et en notoriété est la publication de leurs attaques réussies sur des sites de fuite de données sur le dark web. Je ne serais pas surpris que les groupes ransomware voient la menace que représente le maintien de ces sites et cessent de répertorier publiquement ces attaques pour tenter de rester sous le radar.“