Le ministère de la Justice a annoncé cette semaine que des agents du FBI ont réussi à perturber Hive, un groupe notoire de rançongiciels, et à empêcher 130 millions de dollars de campagnes de rançon que les cibles n’ont plus besoin d’envisager de payer. Tout en affirmant que le groupe Hive était responsable du ciblage de plus de 1 500 victimes dans plus de 80 pays à travers le monde, le département révèle maintenant qu’il avait infiltré le réseau du groupe pendant des mois avant de travailler avec des responsables allemands et néerlandais pour fermer les serveurs et les sites Web de Hive cette semaine.
“En termes simples, en utilisant des moyens légaux, nous avons piraté les pirates”, a déclaré la sous-procureure générale Lisa Monaco lors d’une conférence de presse.
Le FBI affirme qu’en piratant secrètement les serveurs Hive, il a pu récupérer discrètement plus de 300 clés de déchiffrement et les retransmettre aux victimes dont les données ont été verrouillées par le groupe. Le procureur général des États-Unis, Merrick Garland, a déclaré dans sa déclaration qu’au cours des derniers mois, le FBI avait utilisé ces clés de déchiffrement pour déverrouiller un district scolaire du Texas faisant face à une rançon de 5 millions de dollars, un hôpital de Louisiane à qui on avait demandé 3 millions de dollars et un service alimentaire anonyme. entreprise qui a fait face à une rançon de 10 millions de dollars.
“Nous avons renversé la situation sur Hive et détruit leur modèle commercial”, a déclaré Monaco. Hive avait été considéré comme l’une des cinq principales menaces de ransomware par le FBI. Selon le ministère de la Justice, Hive a reçu plus de 100 millions de dollars en rançons de la part de ses victimes depuis juin 2021.
Le modèle « ransomware-as-a-service (RaaS) » de Hive consiste à fabriquer et à vendre des ransomwares, puis à recruter des « affiliés » pour sortir et le déployer, les administrateurs de Hive prélevant une réduction de 20 % sur tout produit et publiant des données volées sur un Site « HiveLeaks » si quelqu’un refusait de payer. Selon la US Cybersecurity and Infrastructure Security Agency (CISA), les affiliés utilisent des méthodes telles que le phishing par e-mail, l’exploitation des vulnérabilités d’authentification FortiToken et l’accès aux VPN et aux postes de travail distants de l’entreprise (en utilisant RDP) qui ne sont protégés qu’avec des connexions à facteur unique.
Une alerte CISA de novembre explique comment les attaques ciblent les entreprises et les organisations exécutant leurs propres serveurs Microsoft Exchange. Le code fourni à leurs affiliés tire parti d’exploits connus comme CVE-2021-31207, qui, bien qu’ils aient été corrigés depuis 2021, restent souvent vulnérables si les mesures d’atténuation appropriées n’ont pas été appliquées.
Une fois qu’ils sont entrés, leur modèle consiste à utiliser les propres protocoles de gestion de réseau de l’organisation pour arrêter tout logiciel de sécurité, supprimer les journaux, crypter les données et, bien sûr, laisser derrière eux une note de rançon HOW_TO_DECRYPT.txt dans des répertoires cryptés qui relient les victimes. à un panneau de chat en direct pour négocier les demandes de rançon.
“Quand une victime s’avance, cela peut faire toute la différence”
Hive est le plus grand groupe de rançongiciels que les autorités ont supprimé depuis REvil en 2021 – qui était responsable de la fuite des schémas de MacBook d’un fournisseur Apple ainsi que du plus grand fournisseur de viande au monde. Et plus tôt cette année-là, des groupes comme DarkSide sont repartis avec succès avec un paiement de 4,4 millions de dollars après avoir pénétré les systèmes de Colonial Pipeline lors d’un incident qui a fait monter en flèche les prix nationaux du gaz. Cependant, l’attaque de ransomware la plus chère à avoir été annoncée est la compagnie d’assurance CNA Financial, qui a fini par payer 40 millions de dollars aux pirates.
Le FBI, lors de sa surveillance de Hive, a trouvé plus de 1 000 clés de cryptage liées à d’anciennes victimes du groupe, et le directeur du FBI, Christopher Wray, a noté que seulement 20 % des victimes détectées ont contacté le FBI pour obtenir de l’aide. De nombreuses victimes d’attaques de ransomwares s’abstiennent de contacter le FBI par crainte des répercussions des pirates et d’un examen minutieux dans leurs industries pour ne pas avoir réussi à se protéger.
Étant donné que les pirates obtiennent leurs jours de paie, cependant, cela donne à l’industrie des rançongiciels le carburant nécessaire pour continuer. Le FBI espère pouvoir convaincre davantage de victimes de se manifester et de travailler avec eux au lieu de céder aux demandes. “Lorsqu’une victime s’avance, cela peut faire toute la différence pour récupérer des fonds volés ou obtenir des clés de décryptage”, a déclaré Monaco.
