Démantèlement du réseau de rançongiciels Hive : responsables américains
Le FBI et ses partenaires internationaux ont au moins temporairement démantelé le réseau d’un gang prolifique de rançongiciels qu’ils ont infiltré l’année dernière, permettant aux victimes, notamment aux hôpitaux et aux districts scolaires, d’économiser 130 millions de dollars américains en paiements de rançon, ont annoncé jeudi le procureur général Merrick Garland et d’autres responsables américains.
« En termes simples, en utilisant des moyens légaux, nous avons piraté les pirates », a déclaré la sous-procureure générale Lisa Monaco lors d’une conférence de presse.
Les responsables ont déclaré que le syndicat ciblé, connu sous le nom de Hive, exploite l’un des cinq principaux réseaux de rançongiciels au monde et a fortement ciblé les hôpitaux et autres prestataires de soins de santé. Le FBI a discrètement accédé à son panneau de contrôle en juillet et a pu obtenir des clés logicielles pour décrypter le réseau de quelque 1 300 victimes dans le monde, a déclaré le directeur du FBI, Christopher Wray. Les responsables ont crédité la police allemande et d’autres partenaires internationaux.
Cependant, il n’était pas immédiatement clair comment le retrait affecterait les opérations à long terme de Hive. Les responsables n’ont annoncé aucune arrestation, mais ont déclaré qu’ils construisaient une carte des administrateurs de Hive, qui gèrent le logiciel, et des affiliés, qui infectent les cibles et négocient avec les victimes, pour poursuivre les poursuites.
« Je pense que toute personne impliquée dans Hive devrait s’inquiéter car cette enquête est en cours », a déclaré Wray.
Mercredi soir, des agents du FBI ont saisi une infrastructure informatique à Los Angeles qui servait à soutenir le réseau. Deux sites Web sombres de Hive ont été saisis : l’un utilisé pour divulguer des données sur des victimes non payantes, l’autre pour négocier des paiements d’extorsion.
« La cybercriminalité est une menace en constante évolution, mais comme je l’ai déjà dit, le ministère de la Justice n’épargnera aucune ressource pour traduire en justice quiconque cible les États-Unis avec une attaque de ransomware », a déclaré Wray.
Garland a déclaré que grâce à l’infiltration, menée par le bureau du FBI à Tampa, des agents ont pu dans un cas perturber une attaque de Hive contre un district scolaire du Texas, l’empêchant d’effectuer un paiement de 5 millions de dollars.
L’opération est une grande victoire pour le ministère de la Justice. Le fléau des rançongiciels est le plus grand casse-tête de la cybercriminalité au monde, du service postal britannique au service national de santé irlandais en passant par le gouvernement du Costa Rica, paralysé par des syndicats russophones qui bénéficient de la protection du Kremlin. Les criminels verrouillent ou cryptent les réseaux informatiques des victimes, volent des données sensibles et exigent des sommes importantes.
À titre d’exemple de la menace de Hive, Garland a déclaré qu’il avait empêché un hôpital du Midwest en 2021 d’accepter de nouveaux patients au plus fort de l’épidémie de COVID-19.
L’avis de retrait en ligne, alternativement en anglais et en russe, mentionne Europol et la police fédérale et nationale allemande comme partenaires dans l’effort. Dans un communiqué, Europol a déclaré que des entreprises dans plus de 80 pays, y compris des multinationales pétrolières, avaient été compromises par Hive. Il a déclaré qu’Europol avait aidé à l’analyse de la crypto-monnaie, des logiciels malveillants et d’autres analyses, et que les forces de l’ordre de 13 pays étaient impliquées dans l’effort.
Un avis du gouvernement américain l’année dernière a déclaré que les acteurs du rançongiciel Hive ont victimisé plus de 1 300 entreprises dans le monde de juin 2021 à novembre 2022, recevant environ 100 millions de dollars américains en paiements de rançon. Il a déclaré que les criminels utilisant le rançongiciel Hive ciblaient un large éventail d’entreprises et d’infrastructures critiques, y compris le gouvernement, la fabrication et en particulier les établissements de soins de santé et de santé publique.
Même si le FBI a offert des clés de déchiffrement à quelque 1 300 victimes dans le monde, Wray a déclaré que seulement 20 % d’entre elles avaient signalé des problèmes potentiels aux forces de l’ordre.
« Ici, heureusement, nous avons encore pu identifier et aider de nombreuses victimes qui ne se sont pas présentées. Mais ce n’est pas toujours le cas », a déclaré Wray. « Lorsque des victimes nous signalent des attaques, nous pouvons les aider, ainsi que d’autres personnes. »
John Hultquist, responsable du renseignement sur les menaces au sein de la société de cybersécurité Mandiant, a déclaré que la perturbation de Hive n’entraînera pas une baisse majeure de l’activité globale des ransomwares, mais qu’elle est néanmoins « un coup porté à un groupe dangereux ».
« Malheureusement, le marché criminel au cœur du problème des ransomwares garantit qu’un concurrent de Hive se tiendra prêt à offrir un service similaire en son absence, mais il peut réfléchir à deux fois avant d’autoriser l’utilisation de son ransomware pour cibler les hôpitaux », a déclaré Hultquist.
Mais Brett Callow, analyste de la société de cybersécurité Emsisoft, a déclaré que l’opération était susceptible de réduire la confiance des escrocs de rançongiciels dans ce qui a été une entreprise à très haut rendement et à faible risque.
« Les informations collectées peuvent pointer vers des affiliés, des blanchisseurs et d’autres personnes impliquées dans la chaîne d’approvisionnement des ransomwares », a déclaré Callow.
Et l’analyste Allan Liska de la société de cybersécurité Recorded Future a déclaré que l’opération montre que « la stratégie à plusieurs volets des forces de l’ordre consistant en des arrestations, des sanctions, des saisies et plus encore fonctionne pour ralentir les attaques de ransomwares ». Il a prédit que cela conduirait à des inculpations, voire à de véritables arrestations, dans les prochains mois.
La menace de ransomware a attiré l’attention des plus hauts niveaux de l’administration Biden il y a deux ans après une série d’attaques très médiatisées qui ont menacé les infrastructures critiques et l’industrie mondiale. En mai 2021, par exemple, des pirates ont ciblé le plus grand pipeline de carburant du pays, obligeant les opérateurs à le fermer brièvement et à verser une rançon de plusieurs millions de dollars que le gouvernement américain a largement récupéré.
Les autorités fédérales ont utilisé une variété d’outils pour tenter de lutter contre le problème, mais les mesures conventionnelles d’application de la loi telles que les arrestations et les poursuites n’ont pas fait grand-chose pour frustrer les criminels.
Le FBI a déjà obtenu l’accès aux clés de déchiffrement. Il l’a fait dans le cas d’une attaque majeure de ransomware en 2021 contre Kaseya, une entreprise dont le logiciel gère des centaines de sites Web. Il a fallu un peu de chaleur, cependant, pour attendre plusieurs semaines pour aider les victimes à débloquer les réseaux affligés.