Ransomware : l’infrastructure de Hive a été saisie

Une vaste opération de police internationale vient de conduire à la saisie de l’infrastructure de la franchise mafieuse Hive. Celle-ci aurait fait 1 500 victimes dans le monde, dont 58 françaises ont été identifiées.

Surprise, ce jeudi 26 janvier en début d’après-midi : l’infrastructure de la franchise de rançongiciel Hive n’est plus, que ce soit son site vitrine – où étaient épinglées certaines victimes ayant refusé de céder au chantage –, ou celui utilisé pour les négociations.

À la place, une image indique qu’ils ont été saisis. Six logos suggèrent l’implication du ministère américain de la Justice, du FBI, des Services secrets américains, d’Europol, la police du Baden-Württemberg, et de la division cybercriminalité de la police criminelle fédérale allemande. À cela s’ajoutent les drapeaux du Canada, de la France, de la Lituanie, des Pays-Bas, du Portugal, de l’Espagne, de la Roumanie, de la Suède et du Royaume-Uni. Pour l'Hexagone, c'est la Police Nationale qui est mentionnée par Europol.

Lors d’une conférence de presse retransmise en ligne, les autorités américaines indiquent avoir réussi à infiltrer l’infrastructure de Hive courant 2022 et aidé plus de 300 victimes à travers le monde, en leur fournissant les clés nécessaires au déchiffrement. Les serveurs saisis étaient situés aux États-Unis, à Los Angeles. 

Le programme de ransomware en mode service (RaaS) Hive s’est fait remarquer pour la première fois au mois de juin 2021, avec une attaque commise contre le groupe Altus, spécialisé dans l’immobilier. 

Hive s’est notamment fait remarquer outre-Rhin pour l’attaque conduite contre le géant de l’électronique et de l’électroménager MediaMarkt – auquel 240 millions de dollars ont été initialement demandés. Mais c’est également lui qui a attaqué l’université technique de Nuremberg. Plus au sud, Hive s’est illustré dans une cyberattaque contre l’Espagnol Correos Express. En France, cette franchise a notamment été impliquée contre les attaques informatiques ayant touché l’École Nationale de l’Aviation Civile (ENAC), en mars 2022, et Damart, fin août dernier. Selon la Police Nationale, Hive a fait 58 victimes dans l'Hexagone.

Mi-février 2022, quatre chercheurs coréens avaient publié une méthode de déchiffrement des données prises en otage lors de cyberattaques conduites avec le ransomware Hive. Les défauts exploités étaient déjà connus et susceptibles d’être utilisés pour aider des victimes. Les opérateurs d’Hive n’ont pas manqué de faire évoluer leur ransomware par la suite.

Au mois de novembre dernier, le FBI estimait que Hive avait été impliqué dans plus de 1 300 cyberattaques à travers le monde, privant ses victimes de plus de 100 millions de dollars américains. Selon Group-IB, à la mi-octobre 2021, 355 entreprises avaient été victimes des activités associées à Hive.

Hive n’est pas la première franchise cybercriminelle à faire les frais des forces de l’ordre et de la justice. Fin janvier 2021, le FBI annonçait l’arrestation d’un affilié canadien des opérateurs du rançongiciel NetWalker, assorti de la saisie de leur serveur Web caché, en Bulgarie. Quelques semaines plus tard, les forces de l’ordre ukrainiennes et françaises menaient une vaste opération contre des cyberdélinquants impliqués dans des opérations liées au ransomware Egregor. 

Pour approfondir sur Cyberdélinquance

Close