C'est la grosse nouvelle de cette fin de semaine du côté de la cybersécurité. L'infrastructure de l'infâme et prolifique groupe de ransomware Hive a été démantelée. Une opération après plusieurs mois d'infiltration du FBI qui a permis de mettre la main sur des clés de déchiffrement et aider des victimes.

Comme toujours dans ce genre d'affaire, l'action des autorités a été menée dans le cadre d'une coopération internationale. Pour la France, la sous-direction de lutte contre la cybercriminalité (SDLC) de la police judiciaire a apporté sa pierre à l'édifice.

Quelque 100 millions de dollars de préjudice et sur les 1 500 victimes de Hive dans le monde, ce sont 58 victimes françaises qui ont été identifiées et 26 d'entre elles ont porté plainte. Certains noms comme Altice et Intersport étaient déjà connus.

C'était donc aussi le ransomware Hive

Il y avait également Altis, Damart, l'École nationale de l'aviation civile (Enac), la mairie d'Annecy-le-Vieux, la collectivité territoriale de la Guadeloupe ou encore le conseil départemental de Seine-Maritime.

Le conseil départemental de Seine-Maritime n'avait par exemple pas communiqué sur le ransomware précis dont il avait été la victime en octobre, sans doute pour les besoins de l'enquête. Il s'avère qu'il a largement profité de l'infiltration du FBI, puisque son système d'information a pu être remis en état de marche en moins d'un mois grâce à une clé de déchiffrement.

Compte tenu de précédentes cyberattaques, une hypothèse était que le ransomware LockBit avait pu être utilisé, mais il n'y avait pas eu la revendication habituelle de ce groupe.

hacker

Une enquête qui se poursuit

Selon le rapport " Panorama de la cybermenace 2022 " de l'Agence nationale de la sécurité des systèmes d'information (Anssi), les collectivités territoriales et locales en France ont particulièrement été affectées par les attaques par ransomware en 2021 et 2022, mais toujours derrière les entreprises de type TPE, PME et ETI.

Pour le ransomware Hive apparu mi-2021, c'est l'outil qui vient d'être rendu indisponible. Toutefois, il n'y a pas eu d'annonce au sujet d'arrestations ou pour une identification des opérateurs. Les affiliés sont eux susceptibles de se tourner vers un autre ransomware en tant que service. L'offre ne manque malheureusement pas…

Source : Le Figaro - AFP