L’infrastructure du ransomware Hive démantelée

janvier 27, 2023janvier 28, 2023 Romuald Pena

Le ransomware Hive et son infrastructure sont démantelés, hier, jeudi 26 janvier 2023. L’infrastructure de la franchise du Ransomware-As-A-Service Hive n’est plus. Que ce soit son site vitrine, comme celui utilisé pour les négociations, plus rien n’apparaît, ou presque. À la place, une image sans équivoque. Six logos suggèrent l’implication du ministère américain de la Justice, du FBI, des Services secrets américains, d’Europol, la police du Baden-Württemberg, et de la division cybercriminalité de la police criminelle fédérale allemande.

C’est pas une conférence de presse en ligne que les autorités américaines indiquent avoir démantelé le réseau international du ransomware Hive. L’entité réussissait à infiltrer l’infrastructure de Hive courant de l’été 2022. Depuis elle a aidé plus de 300 victimes à travers le monde, en leur fournissant les clés nécessaires au déchiffrement. Les serveurs du ransomware Hive saisis étaient situés aux États-Unis, plus exactement à Los Angeles.

« Le ministère de la Justice n’épargnera aucune ressource pour identifier et traduire en justice toute personne, où qu’elle soit, qui cible les États-Unis États-Unis avec une attaque de ransomware nous continuerons à travailler à la fois pour prévenir ces attaques et à fournir un soutien aux victimes »

« Nous sommes ici pour annoncer que la nuit dernière, le département de la justice a démantelé un réseau international de ransomware responsable de l’extorsion et de la tentative d’extorsion de centaines de millions de dollars à des victimes aux États-Unis et dans le monde entier. Connu sous le nom de groupe Hive ransomware, ce réseau a ciblé plus de 1500 victimes dans le monde entier depuis juin 2021 », a indiqué le procureur général des États-Unis Merrick B Garland.

Depuis son apparition en juin 2021, le ransomware Hive a ciblé plus de 1 500 victimes dans le monde et a reçu plus de 100 millions de dollars en paiements de rançon.

En outre, le FBI a distribué plus de 1 000 clés de décryptage supplémentaires aux victimes précédentes. Enfin, le département de la justice américaine a annoncé qu’en coordination avec les forces de l’ordre allemandes (la police criminelle fédérale allemande et le quartier général de la police de Reutlingen-CID Esslingen), et la National High Tech Crime Unit des Pays-Bas, avoir pris le contrôle des serveurs et des sites Web utiliser pour communiquer avec ses membres.

La sous-direction de lutte contre la cybercriminalité de la #policejudiciaire a participé activement avec le @FBIWFO et @Europol au démantèlement du rancongiciel HIVE : 58 victimes françaises identifiées sur 1500 dans le monde, 100 millions de dollars de préjudice. https://t.co/Fbdt4r01tC
— Porte-parole de la police nationale (@PorteParolePN) January 26, 2023

« Les forces de l’ordre ont fourni la clé de déchiffrement aux entreprises qui avaient été compromises afin de les aider à déchiffrer leurs données sans payer la rançon. Cet effort a empêché le paiement de plus de 120 M€ de paiements de rançon », a indiqué Europol.

Des victimes en France, comme Damart, l’ENAC subissait dans le domaine de l’aviation une attaque, et celles dont on ne connaît pas le nom. La justice américaine reconnaît la coopération essentielle du Canada, de la France, de la Lituanie, des Pays-Bas, du Portugal, de l’Espagne, de la Roumanie, de la Suède et du Royaume-Uni. En France, Europol mentionne la Police Nationale, plus précisément la sous-direction de lutte contre la cybercriminalité de la #policejudiciaire. Les autorités américaines se sont saisies des infrastructures, mais « le code demeure ».