Les attaques de ransomwares, dans lesquelles les pirates cryptent un système informatique, puis extorquent les victimes pour qu’elles paient ou risquent de perdre l’accès à leurs données, ont nui à des cibles allant des individus aux entités puissantes. Parmi les victimes figurent de grandes entreprises telles que le fournisseur de viande JBS, des infrastructures majeures telles que le pipeline colonial et des pays entiers tels que le Costa Rica. La semaine dernière, le ministère de la Justice a annoncé quelques rares bonnes nouvelles concernant cette industrie criminelle : le FBI a infiltré un important groupe de logiciels de rançon appelé Hive et a obtenu ses clés de déchiffrement. Ces clés permettent aux victimes de rançongiciels de récupérer leurs données sans payer les frais exigés. Le travail du FBI a aidé les parties concernées à éviter de payer 130 millions de dollars. Par la suite, les forces de l’ordre américaines ont travaillé avec des partenaires internationaux pour saisir les serveurs de Hive et supprimer son site Web.
Selon l’annonce officielle du DOJ, Hive est un acteur majeur dans l’espace des ransomwares depuis juin 2021, attaquant plus de 1 500 victimes dans plus de 80 pays et extorquant plus de 100 millions de dollars. “Je dirais que c’est là-haut avec les plus grands groupes de ransomwares sur lesquels nous avons des données, en termes de nombre d’organisations touchées et de combien d’argent est versé”, déclare Josephine Wolff, professeure agrégée de politique de cybersécurité à Université Tufts. Scientifique Américain a parlé avec Wolff de la façon dont le FBI a abattu Hive et de l’impact que cette opération d’application de la loi aura sur d’autres criminels rançongiciels.
[An edited transcript of the interview follows.]
Quelle action le FBI a-t-il prise contre Hive ?
Il y a deux parties, toutes deux très intéressantes. La première chose que les forces de l’ordre ont faite a été d’infiltrer leurs communications internes pendant plusieurs mois – nous pensons revenir à [last] été, sur la base de ce que le ministère de la Justice a dit. Et parce que [law enforcement was] à l’intérieur de leurs ordinateurs et capables de voir qui ils avaient infecté et, plus important encore, quelles étaient les clés de déchiffrement pour annuler ce rançongiciel, a déclaré le ministère de la Justice [it was] capable d’aider de nombreuses victimes qui avaient été ciblées et de décrypter leurs systèmes en volant essentiellement ces clés de décryptage des serveurs Hive, à l’insu de Hive de ce qui se passait. Ainsi, pendant des mois, vous avez eu une présence secrète dans ces serveurs des forces de l’ordre, prenant des clés de déchiffrement et les donnant aux victimes afin qu’elles puissent récupérer leurs ordinateurs.
La deuxième partie de cela, qui vient de se passer, est le retrait. Et c’est là que le ministère de la Justice intervient et saisit les serveurs et supprime [Hive’s] site Internet. Pour cette partie, je pense qu’il est plus difficile de savoir quels seront les impacts à long terme car les serveurs et les sites Web sont remplaçables. C’est donc une bonne perturbation, mais cela n’équivaut pas nécessairement à dire : “Ces personnes ne pourront plus jamais distribuer de rançongiciels”. Et je suppose – et ici je ne fais que spéculer – que la raison pour laquelle le retrait s’est produit est que la présence des forces de l’ordre dans [Hive’s] système avait été détecté. Parce que sinon, je pense que vous essaieriez de maintenir cette présence aussi longtemps que vous le pourriez raisonnablement.
Le FBI est-il susceptible de continuer à organiser des opérations comme celle-ci qui impliquent d’intégrer des agents dans les systèmes d’organisations criminelles pendant des mois ?
Honnêtement, je l’espère. Je pense que c’est une chose délicate à faire dans de nombreux cas, car de nombreuses organisations cybercriminelles, pour des raisons évidentes, sont assez prudentes quant à savoir qui a accès à leurs serveurs. Je suppose que c’est un peu une anomalie, en trouver un qui était suffisamment mal protégé. Et peut-être [that is] également lié au fait que [Hive is] une organisation de « ransomware en tant que service » : vous les voyez louer leurs logiciels malveillants à un tas d’autres acteurs malveillants et donc être utilisés assez largement par tout un tas d’entités différentes dans cet espace. Et par conséquent, ils ont beaucoup de relations avec des personnes qui ne sont pas des membres internes connus de leur propre organisation, mais qui sont des clients qui achètent leurs services. Cela a peut-être facilité l’introduction de nouvelles personnes dans l’organisation et les systèmes. Certes, je pense que c’est quelque chose que les forces de l’ordre continueront d’essayer de faire. J’espère que ce sera réussi.
La chute de Hive dissuadera-t-elle d’autres groupes de rançongiciels ?
Je pense que cela dépend un peu de certaines des prochaines étapes — personne n’a encore été arrêté. Je pense que ce n’est pas une histoire qui va nécessairement faire peur aux cybercriminels. Je suppose que certaines des plus grandes organisations vont balayer leurs propres systèmes et rechercher tout signe d’une présence similaire auquel elles devraient prêter attention. Je ne sais pas si cela incitera quiconque à atténuer ses opérations de rançongiciel, en partie parce que je pense que cela suscite moins d’attention et moins de crainte pour les cybercriminels qui opèrent à l’étranger. Mais cela va certainement inquiéter les gens quant à la possibilité que leurs propres systèmes soient infiltrés de cette manière.
Qu’est-ce que ces groupes ont fait d’autre ces derniers temps ? Quel est l’état actuel du monde des rançongiciels ?
Nous continuons à voir ces attaques de rançongiciels assez importantes et vraiment percutantes contre les établissements de santé, aux niveaux gouvernemental local et national, dans les établissements privés. En général, j’ai l’impression, certainement de la part des assureurs, que le taux de ransomwares a un peu ralenti au cours des six derniers mois à un an – qu’il n’est pas aussi fréquent ou aussi courant qu’il l’était peut-être en 2020, 2021, au moment où il faisait le plus de dégâts et causait le plus de sinistres. Mais cela ne veut certainement pas dire qu’il a disparu.
Pourquoi ce ralentissement se produit-il ?
Il y a différentes idées à ce sujet. Je pense que de nombreux assureurs diraient : « Nous nous sommes améliorés pour exiger des assurés qu’ils prennent certaines mesures pour se protéger », dont la plus simple consiste à créer des sauvegardes, exigeant que tout le monde puisse redémarrer son système si tout est crypté. Et ils pensent que cela a permis de réduire, au moins, le nombre de réclamations et le montant des dommages causés par les attaques de ransomwares. Il y a aussi une certaine mesure dans laquelle la guerre en Ukraine plonge l’industrie des rançongiciels dans un certain désarroi. Il existe un ensemble de groupes de rançongiciels et d’organisations de cybercriminalité qui ont des personnes travaillant en Ukraine, souvent des dirigeants basés en Russie, qui commencent à divulguer des informations les uns sur les autres et à saper leurs efforts de l’intérieur.
Et puis l’autre élément est une police assez agressive aux États-Unis mais aussi en Europe : essayer d’attraper les gens, faire des démontages et faire des rançongiciels un crime moins lucratif. Une partie de cela se concentre également sur la réglementation de l’industrie de la crypto-monnaie : essayer de sanctionner certains échanges de crypto-monnaie que les criminels utilisent pour traiter ces paiements. Les intermédiaires de crypto-monnaie facilitent les paiements en devises à grande échelle et au-delà des frontières nationales, ce qui est si essentiel pour que cette activité soit rentable. Un autre élément de ce que le gouvernement américain poursuit certainement est le partenariat international. La plupart de ces criminels ne sont pas basés aux États-Unis ou dans d’autres pays où se trouvent la plupart des victimes. [Taking them down] nécessite en fait une collaboration très active avec les forces de l’ordre à l’étranger.
Les cybercriminels modifient-ils leurs tactiques pour contrer la réponse plus vigoureuse des forces de l’ordre ?
Un élément que nous n’avons pas beaucoup abordé est la question de savoir ce qui se passe lorsque les opérateurs de rançongiciels ne se contentent pas de crypter le système d’une victime, mais volent également des copies de toutes ses données, puis menacent : « Si vous ne payez pas de rançon, je Je vais divulguer toutes vos données en ligne. » Et c’est une chose qui a augmenté en fréquence au cours des deux dernières années. C’est particulièrement problématique quand on pense aux solutions que nous avons vues, où l’espoir est “si nous fournissons la clé de déchiffrement, alors les gens ne paieront pas la rançon”. S’il y a une copie volée qui est tenue au-dessus de la tête d’une victime, c’est une atténuation moins efficace.
Avons-nous appris autre chose du démontage de Hive ?
Dans l’annonce du ministère de la Justice, ils ont déclaré que lorsqu’ils étaient à l’intérieur des serveurs Hive, ils pouvaient voir qui était ciblé. Mais ils ne recevaient des rapports que d’environ 20 % de ces victimes. Cela nous donne un point de données sur le pourcentage d’attaques de rançongiciels directement signalées au FBI par rapport à celles [for which] le FBI a dû tendre la main de manière proactive et dire: «Hé, nous voyons qu’il semble que ce groupe de rançongiciels ait pu vous affecter. Nous pensons que nous pouvons aider. [Twenty percent is] un nombre assez faible pour essayer de comprendre l’ampleur de ce problème au-delà de ce que les gens signalent volontairement.
