Dans ce cas de piratage des pirates, l’infrastructure darknet associée à l’opération Hive ransomware-as-a-service (RaaS) a été saisie dans le cadre d’un effort coordonné d’application de la loi impliquant 13 pays.

« Les forces de l’ordre ont identifié les clés de déchiffrement et les ont partagées avec de nombreuses victimes, les aidant à retrouver l’accès à leurs données sans payer les cybercriminels », a déclaré Europol dans un communiqué.

Le ministère américain de la Justice (DoJ) a déclaré que le Federal Bureau of Investigation (FBI) avait secrètement infiltré les serveurs de la base de données Hive en juillet 2022 et capturé 336 clés de déchiffrement qui ont ensuite été remises aux entreprises compromises par le gang, économisant ainsi 130 millions de dollars en paiements de rançon. .

Le FBI a également distribué plus de 1 000 clés de déchiffrement supplémentaires aux précédentes victimes de Hive, a noté le DoJ, déclarant que l’agence avait eu accès à deux serveurs dédiés et à un serveur privé virtuel chez un fournisseur d’hébergement en Californie qui avaient été loués à l’aide de trois adresses e-mail appartenant aux membres de Hive. .

Outre les clés de déchiffrement, un examen des données des serveurs a révélé des informations sur 250 affiliés, qui sont des parties recrutées par les développeurs pour identifier et déployer le logiciel malveillant de cryptage de fichiers contre les victimes en échange d’une part de chaque paiement de rançon réussi.

Le département d’État américain, dans une annonce connexe, a déclaré qu’il offrait des récompenses allant jusqu’à 10 millions de dollars pour des informations qui pourraient aider à relier le groupe de rançongiciels Hive (ou d’autres acteurs de la menace) à des gouvernements étrangers.

Hive, qui a vu le jour en juin 2021, a été une équipe prolifique de cybercriminalité, lançant des attaques contre 1 500 organisations dans pas moins de 80 pays et lui rapportant 100 millions de dollars de profits illicites.

Les entités ciblées couvraient un large éventail de secteurs verticaux, y compris les installations gouvernementales, les communications, la fabrication critique, les technologies de l’information et les soins de santé.

Selon les statistiques recueillies par MalwareBytes, Hive a fait 11 victimes en novembre 2022, le plaçant à la sixième place derrière Royal (45), LockBit (34), ALPHV (19), BianLian (16) et LV (16).

« Certains acteurs de Hive ont eu accès aux réseaux de la victime en utilisant des connexions à facteur unique via le protocole de bureau à distance, des réseaux privés virtuels et d’autres protocoles de connexion réseau à distance », a expliqué Europol.

« Dans d’autres cas, les acteurs de Hive ont contourné l’authentification multifacteur et ont obtenu l’accès en exploitant les vulnérabilités. Cela a permis aux cybercriminels malveillants de se connecter sans demander le deuxième facteur d’authentification de l’utilisateur en modifiant la casse du nom d’utilisateur. »

L’opération internationale était composée d’autorités du Canada, de la France, de l’Allemagne, de l’Irlande, de la Lituanie, des Pays-Bas, de la Norvège, du Portugal, de la Roumanie, de l’Espagne, de la Suède, du Royaume-Uni et des États-Unis.

Au contraire, le déménagement est susceptible de provoquer une interruption temporaire des opérations de Hive, obligeant le groupe (suivi sous le nom de Hive Spider) à établir une nouvelle infrastructure s’il a l’intention de poursuivre son activité criminelle sous le même surnom.

« La saisie du [site dédié aux fuites] et du portail de négociation des victimes est un revers majeur pour les opérations de l’adversaire », a déclaré Adam Meyers, responsable du renseignement chez CrowdStrike.

« Sans accès à l’un ou l’autre site, les affiliés de Hive Spider devront s’appuyer sur d’autres moyens de communication avec leurs victimes et devront trouver d’autres moyens de publier publiquement les données des victimes. »

Les gangs RaaS se dissolvant et se regroupant constamment à la suite d’actions des forces de l’ordre, de conflits internes ou de raisons géopolitiques, les dernières actions pourraient avoir un effet à court terme sur l’écosystème et conduire davantage les équipages à renforcer leurs défenses.

Cette évolution intervient également à un moment où les entreprises victimes d’attaques de rançongiciels refusent de plus en plus de régler, ce qui entraîne des paiements record au quatrième trimestre 2022. Selon Coveware, seules 41 % des victimes ont payé une rançon en 2022, contre 50 % en 2021, 70 % en 2020 et 76 % en 2019.

« Les actions entreprises par les agences américaines pour perturber de l’intérieur le fonctionnement du groupe de rançongiciels Hive constituent une étape sans précédent dans la lutte contre les rançongiciels, qui sont régulièrement restés la plus grande menace à laquelle sont confrontées la plupart des organisations aujourd’hui », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable.

« Bien que cela puisse signaler la fin du groupe de rançongiciels Hive, ses membres et affiliés restent une menace. S’il y a quelque chose que nous avons appris après les actions perturbatrices passées contre les groupes de rançongiciels, c’est que d’autres groupes se lèveront pour combler le vide laissé derrière. »

(L’histoire a été mise à jour après sa publication pour inclure plus d’informations sur la répression de l’infrastructure.)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *