" En utilisant des moyens légaux, nous avons hacké les hackers. " Cette déclaration de la procureure générale adjointe des États-Unis a été faite pour annoncer la fermeture de l'infrastructure du ransomware Hive. Elle fait suite à une infiltration du FBI qui avait débuté en juillet 2022.
L'opération a été menée en collaboration avec Europol, ainsi que l'Allemagne et les Pays-Bas pour la saisie des serveurs et des sites web que le groupe de ransomware Hive utilise afin de communiquer avec ses membres. Pour le moment, il est hors d'état de nuire et son portail principal en .onion caché sur le réseau Tor affiche la visite des autorités.
En pénétrant les réseaux de Hive, le FBI a pu fournir plus de 300 clés de déchiffrement à des victimes du ransomware qui faisaient l'objet d'attaques en cours. En outre, plus d'un millier de clés de déchiffrement ont été distribuées à d'anciennes victimes de Hive.
Un modèle RaaS prolifique
Basé sur un modèle économique de Ransomware-as-a-Service, le groupe de ransomware Hive fournit l'infrastructure et les services de chiffrement de fichiers, tandis que des affiliés se chargent de mener des attaques. Les administrateurs de Hive touche une commission de 20 % sur les paiements de rançons.
Actif depuis juin 2021, le groupe de ransomware Hive a ciblé plus de 1 500 victimes dans le monde et a reçu plus de 100 millions de dollars de paiements. L'action du FBI aurait permis d'empêcher des victimes de devoir payer pour 130 millions de dollars exigés avec les demandes de rançons.
Si des groupes de ransomware font preuve d'une certaine " éthique " (très relative) en interdisant des cyberattaques susceptibles de paralyser des équipements vitaux, ce n'est pas le cas avec Hive dont les victimes comprennent des hôpitaux. En France, Hive est connu pour avoir frappé Altice et Intersport.
Promesse d'une récompense
Le FBI avait infiltré deux serveurs de Hive chez un hébergeur situé à Los Angeles en Californie et un serveur dédié virtuel. Le FBI a ainsi pu surveiller et agir en sous-marin pendant presque sept mois face aux attaques sous la houlette du groupe de ransomware, notamment pour prévenir des cibles d'une intrusion en cours sur leurs réseaux et afin de prendre des dispositions.
L'accès à deux serveurs hébergés aux Pays-Bas a également été obtenu. L'infiltration du FBI a pris fin cette semaine avec le démantèlement de l'infrastructure du ransomware. Les États-Unis promettent une récompense de jusqu'à 10 millions de dollars pour des informations qui pourraient aider à établir un lien entre le groupe de ransomware Hive et un gouvernement étranger…
Le groupe de ransomware Hive pourrait être lié à Conti qui avait été démantelé et serait un groupe basé en Russie. Le vide laissé par Hive pourrait être vite comblé.