Le FBI est parvenu à infiltrer pendant des mois un réseau de cybercriminels spécialisés dans les ransomwares. En récupérant secrètement les clés de déchiffrement pour les communiquer aux victimes, l’agence a pu contrecarrer plus de 130 millions de dollars en demandes de rançon.


au sommaire


    Le FBI vient d'annoncer la saisie des serveurs d'un groupe international spécialisé dans les rançongiciels. Hive, qui est un des groupes les plus actifs, a visé des hôpitaux, des écoles, des entreprises et des infrastructures critiques dans plus de 80 pays. Ses membres utilisent des malwares pour chiffrer les systèmes de leurs victimes, les rendant inutilisables, et demandent le paiement d’une rançon en échange de la clé de déchiffrement.

    Dans un communiqué, le ministère américain de la Justice indique que le FBI a secrètement infiltré les systèmes de Hive depuis juillet 2022. Les autorités ont ainsi pu récupérer en douce les clés de déchiffrement pour venir en aide à plus de 300 victimes visées depuis cette date, et les fournir à plus de 1 000 victimes qui avaient précédemment subi des attaques. Au total, ils estiment avoir déjoué plus de 130 millions de dollars en demandes de rançons.

    Des rançongiciels en tant que service

    Ce jeudi 26 janvier, l'agence a annoncé avoir réussi à démanteler les systèmes du groupe, grâce à une collaboration avec les autorités allemandes, néerlandaises et Europol. « Dans le cadre d'une cybersurveillance du XXIe siècle, notre équipe d'enquêteurs a pris le dessus sur Hive, en s'emparant de ses clés de décryptage, en les transmettant aux victimes et en évitant finalement le paiement de plus de 130 millions de dollars de rançons », a déclaré la procureure générale adjointe LisaLisa O. Monaco. Si elle n'a pas annoncé d'arrestations, l'agence a saisi les serveurs et sites Web que les membres utilisaient pour communiquer, ce qui devrait les empêcher d'agir pendant quelque temps.

    Le groupe, dont le nom signifie « ruche », fonctionne sous forme de hiérarchie, avec un modèle de rançongiciel en tant que service (RaaS, ou Ransomware as a Service)). Des « administrateurs » s'occupent de développer des ransomwares, tandis que l'infection des systèmes des victimes est l'œuvre de leurs « affiliésaffiliés ». Tous les moyens sont bons, comme l'utilisation du Remote DesktopRemote Desktop ProtocolProtocol (RDP) ou de VPN si l'authentification à deux facteursauthentification à deux facteurs n'est pas activée, de failles dans le système de double authentification FortiToken ou dans les serveurs MicrosoftMicrosoft Exchange, ou encore la bonne vieille méthode de phishing par e-mail avec une pièce jointe vérolée.

    Le phishing, une des méthodes utilisées par les cybercriminels. © janews094, Adobe Stock
    Le phishing, une des méthodes utilisées par les cybercriminels. © janews094, Adobe Stock

    Un service clients sur le dark Web

    Les affiliés mènent une double attaque. Tout d'abord ils téléchargent des informations confidentielles depuis les systèmes de l'organisme visé. Ensuite, ils chiffrent le système, demandent une rançon pour communiquer la clé de déchiffrement et menacent de publier les données volées en l'absence de paiement.

    Le malware arrête l'antivirus, efface les journaux système et procède au chiffrementchiffrement du disque durdisque dur. Il fonctionne sur Windows, mais il existe aussi des variantes pour LinuxLinux, VMware ESXi et FreeBSD. Très souvent, il affiche ensuite un lien sur le dark Web en .onion, accessible avec le navigateurnavigateur TorTor, qui renvoie vers un chat avec le « service commercial » pour discuter du paiement de la rançon. Toutefois, certaines victimes ont été contactées par e-mail ou par téléphone. Si la victime envoie l'argentargent demandé, les affiliés versent 20 % aux administrateurs.

    Les autorités américaines ont indiqué que Hive a visé plus de 1 500 victimes depuis son apparition en juin 2021, et reçu plus de 100 millions de dollars en rançons. Reste à voir combien de temps il faudra au groupe pour mettre en place de nouveaux serveurs suite à la saisie et reprendre du service...