Le FBI et ses partenaires internationaux ont au moins temporairement perturbé le réseau d’un gang prolifique de rançongiciels qu’ils ont infiltré l’année dernière, permettant aux victimes, y compris les hôpitaux et les districts scolaires, d’économiser 130 millions de dollars potentiels en paiements de rançon, ont annoncé jeudi le procureur général Merrick Garland et d’autres responsables américains.
“En termes simples, en utilisant des moyens légaux, nous avons piraté les pirates”, a déclaré la sous-procureure générale Lisa Monaco lors d’une conférence de presse.
Les responsables ont déclaré que le syndicat ciblé, connu sous le nom de Hive, fait partie des cinq principaux réseaux de rançongiciels au monde et cible fortement les soins de santé. Le FBI a discrètement accédé à son panneau de contrôle en juillet et a pu obtenir des clés logicielles qu’il a utilisées avec des partenaires allemands et autres pour décrypter les réseaux de quelque 1 300 victimes dans le monde, a déclaré le directeur du FBI, Christopher Wray.
La manière dont le retrait affectera les opérations à long terme de Hive n’est pas claire. Les responsables n’ont annoncé aucune arrestation mais ont déclaré que, pour poursuivre les poursuites, ils construisaient une carte des administrateurs qui gèrent le logiciel et des affiliés qui infectent les cibles et négocient avec les victimes.
“Je pense que toute personne impliquée dans Hive devrait s’inquiéter car cette enquête est en cours”, a déclaré M. Wray.
Mercredi soir, des agents du FBI ont saisi des serveurs informatiques à Los Angeles utilisés pour soutenir le réseau. Deux sites Web sombres de Hive ont été saisis : l’un utilisé pour divulguer des données sur des victimes non payantes, l’autre pour négocier des paiements d’extorsion.
“La cybercriminalité est une menace en constante évolution, mais comme je l’ai déjà dit, le ministère de la Justice n’épargnera aucune ressource pour traduire en justice quiconque cible les États-Unis avec une attaque de ransomware”, a déclaré M. Garland.
Il a déclaré que l’infiltration, dirigée par le bureau du FBI à Tampa, avait permis à des agents dans un cas de perturber une attaque Hive contre un district scolaire du Texas, l’empêchant d’effectuer un paiement de 5 millions de dollars.
C’est une grande victoire pour le ministère de la Justice. Le ransomware est le plus grand casse-tête de la cybercriminalité au monde avec tout, du service postal britannique et du réseau national de santé irlandais au gouvernement du Costa Rica paralysé par des syndicats russophones qui bénéficient de la protection du Kremlin.
Les criminels verrouillent ou cryptent les réseaux des victimes, volent des données sensibles et exigent des sommes importantes. Leur extorsion a évolué jusqu’à ce que les données soient volées avant l’activation du rançongiciel, puis effectivement prises en otage. Payez en crypto-monnaie ou il est rendu public.
À titre d’exemple d’une piqûre de Hive, M. Garland a déclaré qu’il empêchait un hôpital du Midwest en 2021 d’accepter de nouveaux patients au plus fort de la pandémie de COVID-19.
L’avis de retrait en ligne, alternativement en anglais et en russe, mentionne Europol et des partenaires allemands chargés de l’application des lois. L’agence de presse allemande dpa a cité les procureurs de Stuttgart qui ont déclaré que les cyber-spécialistes de la ville d’Esslingen, dans le sud-ouest du pays, avaient joué un rôle décisif dans la pénétration de l’infrastructure informatique criminelle de Hive après qu’une entreprise locale ait été victime.
Dans un communiqué, Europol a déclaré que des entreprises de plus de 80 pays, y compris des multinationales pétrolières, avaient été compromises par Hive et que les forces de l’ordre de 13 pays étaient impliquées dans l’infiltration.
Un avis du gouvernement américain l’année dernière a déclaré que les acteurs du rançongiciel Hive ont victimisé plus de 1 300 entreprises dans le monde de juin 2021 à novembre 2022, rapportant environ 100 millions de dollars de paiements. Les criminels utilisant les outils de ransomware en tant que service de Hive ont ciblé un large éventail d’entreprises et d’infrastructures critiques, y compris le gouvernement, la fabrication et surtout les soins de santé.
Bien que le FBI ait offert des clés de décryptage à quelque 1 300 victimes dans le monde, Wray a déclaré que seulement 20 % environ avaient signalé des problèmes potentiels aux forces de l’ordre.
« Ici, heureusement, nous avons encore pu identifier et aider de nombreuses victimes qui ne se sont pas présentées. Mais ce n’est pas toujours le cas », a déclaré M. Wray. « Lorsque des victimes nous signalent des attaques, nous pouvons les aider, ainsi que d’autres personnes. »
Les victimes paient parfois discrètement des rançons sans avertir les autorités – même si elles ont rapidement restauré les réseaux – car les données qui leur sont volées pourraient leur être extrêmement préjudiciables en cas de fuite en ligne. L’usurpation d’identité fait partie des risques.
John Hultquist, responsable du renseignement sur les menaces au sein de la société de cybersécurité Mandiant, a déclaré que la perturbation de Hive n’entraînera pas une baisse majeure de l’activité globale des ransomwares, mais qu’elle est néanmoins “un coup porté à un groupe dangereux”.
“Malheureusement, le marché criminel au cœur du problème des ransomwares garantit qu’un concurrent de Hive sera prêt à offrir un service similaire en son absence, mais il peut réfléchir à deux fois avant d’autoriser l’utilisation de son ransomware pour cibler les hôpitaux”, a déclaré M. Hultquist. m’a dit.
Mais l’analyste Brett Callow de la société de cybersécurité Emsisoft a déclaré que l’opération était susceptible de réduire la confiance des escrocs de rançongiciels dans ce qui a été une entreprise à très haut rendement et à faible risque. “Les informations collectées peuvent pointer vers des affiliés, des blanchisseurs et d’autres personnes impliquées dans la chaîne d’approvisionnement des ransomwares.”
Allan Liska, analyste chez Recorded Future, une autre équipe de cybersécurité, a prédit des inculpations, voire des arrestations réelles, dans les prochains mois.
Il existe peu d’indicateurs positifs dans la lutte mondiale contre les ransomwares, mais en voici un : une analyse des transactions de crypto-monnaie par la société Chainalysis a révélé que les paiements d’extorsion de ransomwares avaient diminué l’année dernière. Il a suivi des paiements d’au moins 456,8 millions de dollars, contre 765,6 millions de dollars en 2021. Alors que Chainalysis a déclaré que les vrais totaux sont certainement beaucoup plus élevés, les paiements étaient clairement en baisse. Cela suggère que davantage de victimes refusent de payer.
L’administration Biden a pris au sérieux les ransomwares à son plus haut niveau il y a deux ans après qu’une série d’attaques très médiatisées ait menacé les infrastructures critiques et l’industrie mondiale. En mai 2021, par exemple, des pirates ont ciblé le plus grand pipeline de carburant du pays, obligeant les opérateurs à le fermer brièvement et à verser une rançon de plusieurs millions de dollars, que le gouvernement américain a ensuite largement récupéré.
Un groupe de travail mondial impliquant 37 pays a commencé ses travaux cette semaine. Il est mené par l’Australie, qui a été particulièrement touchée par les ransomwares, notamment un important assureur médical et télécom. Les mesures conventionnelles d’application de la loi telles que les arrestations et les poursuites n’ont pas fait grand-chose pour frustrer les criminels. La ministre australienne de l’Intérieur, Clare O’Neil, a déclaré en novembre que son gouvernement passait à l’offensive, utilisant des cyber-renseignements et des agents de police pour “trouver ces personnes, les traquer et les affaiblir avant qu’ils ne puissent attaquer notre pays”.
Le FBI a déjà obtenu l’accès aux clés de déchiffrement. Il l’a fait dans le cas d’une attaque majeure de ransomware en 2021 contre Kaseya, une entreprise dont le logiciel gère des centaines de sites Web. Il a fallu un peu de chaleur, cependant, pour attendre plusieurs semaines pour aider les victimes à débloquer les réseaux affligés.
Cette histoire a été rapportée par l’Associated Press. Frank Bajak a rapporté de Boston. L’écrivain AP Kirsten Grieshaber à Berlin y a contribué.