Le FBI est parvenu à infiltrer pendant des mois un réseau de cybercriminels spécialisés dans les ransomwares. En récupérant secrètement les clés de déchiffrement pour les communiquer aux victimes, l’agence a pu contrecarrer plus de 130 millions de dollars en demandes de rançon.
Le FBI vient d’annoncer la saisie des serveurs d’un groupe international spécialisé dans les rançongiciels. Hive, qui est un des groupes les plus actifs, a visé des hôpitaux, des écoles, des entreprises et des infrastructures critiques dans plus de 80 pays. Ses membres utilisent des malwares pour chiffrer les systèmes de leurs victimes, les rendant inutilisables, et demandent le paiement d’une rançon en échange de la clé de déchiffrement.
Dans un communiqué, le ministère américain de la Justice indique que le FBI a secrètement infiltré les systèmes de Hive depuis juillet 2022. Les autorités ont ainsi pu récupérer en douce les clés de déchiffrement pour venir en aide à plus de 300 victimes visées depuis cette date, et les fournir à plus de 1 000 victimes qui avaient précédemment subi des attaques. Au total, ils estiment avoir déjoué plus de 130 millions de dollars en demandes de rançons.
Des rançongiciels en tant que service
Ce jeudi 26 janvier, l’agence a annoncé avoir réussi à démanteler les systèmes du groupe, grâce à une collaboration avec les autorités allemandes, néerlandaises et Europol. « Dans le cadre d’une cybersurveillance du XXIe siècle, notre équipe d’enquêteurs a pris le dessus sur Hive, en s’emparant de ses clés de décryptage, en les transmettant aux victimes et en évitant finalement le paiement de plus de 130 millions de dollars de rançons », a déclaré la procureure générale adjointe Lisa O. Monaco. Si elle n’a pas annoncé d’arrestations, l’agence a saisi les serveurs et sites Web que les membres utilisaient pour communiquer, ce qui devrait les empêcher d’agir pendant quelque temps.
Le groupe, dont le nom signifie « ruche », fonctionne sous forme de hiérarchie, avec un modèle de rançongiciel en tant que service (RaaS, ou Ransomware as a Service). Des « administrateurs » s’occupent de développer des ransomwares, tandis que l’infection des systèmes des victimes est l’œuvre de leurs « affiliés ». Tous les moyens sont bons, comme l’utilisation du Remote Desktop Protocol (RDP) ou de VPN si l’authentification à deux facteurs n’est pas activée, de failles dans le système de double authentification FortiToken ou dans les serveurs Microsoft Exchange, ou encore la bonne vieille méthode de phishing par e-mail avec une pièce jointe vérolée.