Dans un cas d’août 2021, un réseau d’hôpitaux à but non lucratif de l’Ohio a dû annuler des chirurgies urgentes alors que son personnel passait aux dossiers papier. Parmi les autres victimes figuraient une entreprise de machinerie lourde de Floride qui a dû fermer temporairement, plusieurs cabinets d’avocats et une entreprise de technologie du New Jersey dont les clients se sont fait voler leurs données, selon un affidavit du FBI.
Garland, le directeur du FBI Christopher A. Wray et leurs principaux adjoints ont décrit le démantèlement de Hive comme une victoire majeure dans les efforts du gouvernement pour lutter contre les ransomwares avec de nouvelles méthodes. Les forces de l’ordre ont pu pirater Hive et infiltrer ses réseaux pendant sept mois, ont déclaré des responsables, volant les clés de déchiffrement et les donnant discrètement à 336 victimes avant de prendre le contrôle total des serveurs Hive aux États-Unis et en Europe, les mettant hors ligne et empêchant de nouvelles infections. .
Les responsables américains ont remercié les autorités allemandes et néerlandaises et Europol pour leur aide dans cette affaire. La police et les procureurs allemands ont déclaré dans un communiqué qu’ils avaient pu pénétrer l’infrastructure technologique des pirates alors qu’ils enquêtaient sur une attaque contre une entreprise dans le sud de l’Allemagne. Ils ont dit qu’ils avaient réussi parce que les victimes n’avaient pas payé la rançon et avaient plutôt porté plainte auprès de la police.
Seulement environ 20% des victimes américaines de Hive ont informé les autorités, a déclaré Wray, mais le FBI a pu en identifier d’autres à partir de l’infrastructure et a également travaillé pour les aider. Parfois, il a pu contacter des organisations de victimes, dont une université, avant le déploiement du cryptage.
Les responsables ont déclaré qu’ils n’avaient procédé à aucune arrestation et qu’ils n’avaient pas déclaré avoir saisi le produit des rançons, mais l’enquête se poursuit.
“La cybercriminalité est une menace en constante évolution”, a déclaré Garland. “Mais comme je l’ai déjà dit, le ministère de la Justice n’épargnera aucune ressource pour identifier et traduire en justice quiconque, n’importe où, qui cible les États-Unis avec une attaque de ransomware.”
Les responsables ont par le passé récupéré une rançon pour d’autres gangs ou récupéré des clés de déchiffrement, a déclaré Wray, mais n’ont jamais été en mesure d’aider autant de victimes pendant si longtemps.
Le rançongiciel Hive a été détecté pour la première fois en juin 2021. Il est rapidement devenu l’un des réseaux de rançon les plus actifs aux États-Unis, notamment pour attaquer des organisations sensibles que de nombreux gangs rivaux évitaient.
L’approche de Hive incluait ce qu’on a appelé la “double extorsion”, en ce sens qu’elle facturerait des frais pour libérer une clé de déchiffrement afin que les cibles puissent récupérer l’accès à leurs données et facturerait également de ne pas publier les informations sur les patients et d’autres données critiques sur un site dédié à ces fuites qui a maintenant été arrêté.
Selon le nombre de cibles cotées en bourse, Hive se classe parmi les 10 acteurs les plus prolifiques, selon les chercheurs, avec environ la moitié de ses victimes aux États-Unis.
Les responsables ont déclaré que le FBI et ses alliés des forces de l’ordre aidaient les victimes à retrouver l’accès à leurs fichiers sans payer les rançons depuis juillet 2022, économisant plus de 130 millions de dollars en paiements.
“Nous avons piraté les pirates”, a déclaré la sous-procureure générale Lisa Monaco. “Nous avons renversé la situation sur Hive.”
Les chercheurs ont déclaré que le gang de Hive comprenait des vétérans de l’un des gangs de rançongiciels russophones les plus notoires, Conti. Conti s’est scindé après qu’un membre ukrainien a divulgué des conversations internes qui ont révélé que les dirigeants se vantaient de contacts avec le Service fédéral de sécurité (FSB) de Russie.
“Cela ne signifie pas nécessairement qu’ils étaient contrôlés par le gouvernement russe”, a déclaré Allan Liska, analyste du renseignement à la société de sécurité Recorded Future. “Mais la plupart de ces groupes dont le siège est en Russie opèrent au moins avec l’approbation tacite du gouvernement russe et ont probablement ces contacts gouvernementaux lâches.”
Le site public mais “dark Web” de Hive, inaccessible par les navigateurs Internet habituels, a montré qu’il avait été saisi, et ses serveurs principaux étaient également inaccessibles jeudi, a déclaré Liska, le mettant essentiellement en faillite.
Cependant, d’autres gangs ont pu se déplacer vers de nouvelles infrastructures et se regrouper dans le passé, et cela pourrait également arriver avec Hive.
«Des actions comme celle-ci ajoutent de la friction aux opérations de ransomware. Hive devra peut-être se regrouper, se réorganiser et même changer de marque », a déclaré John Hultquist, responsable de Mandiant Threat Intelligence chez Google. « Lorsque les arrestations ne sont pas possibles, nous devrons nous concentrer sur des solutions tactiques et une meilleure défense. Tant que nous ne pourrons pas nous attaquer au refuge russe et au marché résilient de la cybercriminalité, nous devrons nous concentrer sur cela.
correction
Une version antérieure de cette histoire disait à tort que Hive avait été découvert en 2001. Il a été détecté en 2021. Cette version a été corrigée.
