Les cyber-attaquants en Ukraine ont longtemps cru qu'ils étaient en sécurité : mais le 21 novembre, c'était fini ! Une équipe d'enquêteurs internationaux a pu arrêter le chef du groupe de cyberattaque ainsi que quatre des collaborateurs les plus actifs. Les anciens membres du HIVE auraient chiffré ces dernières années 250 serveurs de grandes entreprises, causant des dégâts s'élevant à plusieurs centaines de millions d'euros.
La coopération d'Europol et de nombreux enquêteurs de Norvège, de France, d'Allemagne et des États-Unis a valu la peine. Après le démantèlement du groupe APT HIVE en 2021, les enquêteurs n’ont pas baissé les bras. Le succès : ils ont attrapé les cyber-gangsters qui utilisaient le code HIVE et d'autres logiciels malveillants et ont ainsi attaqué et chiffré plus de 250 serveurs de grandes entreprises, causant des dommages s'élevant à des centaines de millions d'euros.
D'anciens membres du HIVE arrêtés en Ukraine
Le 21 novembre, 30 propriétés des régions de Kiev, Tcherkassy, Rivne et Vinnytsia ont été perquisitionnées, aboutissant à l'arrestation du meneur de 32 ans. Quatre des complices les plus actifs du meneur ont également été arrêtés. Plus de 20 enquêteurs venus de Norvège, de France, d'Allemagne et des États-Unis ont été déployés à Kiev pour soutenir la police nationale ukrainienne dans ses efforts d'enquête. Cette configuration a été reflétée par le siège d'Europol aux Pays-Bas, où un poste de commandement virtuel a été activé pour analyser immédiatement les données saisies lors de perquisitions en Ukraine.
Cette dernière action fait suite une première vague d'interpellations en 2021 dans le cadre de la même enquête. Depuis, plusieurs sprints opérationnels ont été organisés à Europol et en Norvège dans le but d'analyser médico-légalement les appareils saisis en Ukraine en 2021. Ce travail de suivi médico-légal a facilité l'identification des suspects attaqués lors de l'opération de Kiev.
Dangereux, inconnu et polyvalent
Les individus faisant l’objet de l’enquête feraient partie d’un réseau responsable d’une série d’attaques de ransomware très médiatisées contre des organisations dans 71 pays. Ces cyberacteurs sont connus pour cibler spécifiquement les grandes entreprises et paralyser efficacement leurs activités. Pour mener leurs attaques, ils ont utilisé, entre autres, les ransomwares LockerGoga, MegaCortex, HIVE et Dharma.
Les suspects avaient différents rôles au sein de cette organisation criminelle. Certains d'entre eux seraient impliqués dans la compromission des réseaux informatiques de leurs cibles, tandis que d'autres seraient soupçonnés d'être responsables du blanchiment de paiements en cryptomonnaies. Les victimes avaient payé les sommes en Bitcoin et autres moyens de paiement pour décrypter leurs fichiers.
L'enquête a révélé que les auteurs ont crypté plus de 250 serveurs de grandes entreprises, causant des dommages s'élevant à plusieurs centaines de millions d'euros.
Coopération internationale
À l'initiative des autorités françaises, une équipe commune d'enquête (JIT) a été créée entre la Norvège, la France, le Royaume-Uni et l'Ukraine en septembre 2019, avec le soutien financier d'Eurojust et le soutien des deux agences. Depuis lors, les partenaires du JIT travaillent en étroite collaboration, parallèlement aux enquêtes indépendantes menées par les autorités néerlandaises, allemandes, suisses et américaines, pour identifier et traduire en justice les acteurs menaçants en Ukraine.
Cette coopération internationale est restée constante et ininterrompue, même face aux défis posés par la guerre en cours en Ukraine. Un officier de cyberpolice ukrainien a été initialement déployé à Europol pendant deux mois pour préparer la première phase de l'opération, avant d'être déployé de manière permanente à Europol pour faciliter la coopération répressive dans ce domaine.
Taskforce n'a pas abandonné – nouveaux outils de décryptage
Dès le début de l'enquête, le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol a organisé des réunions opérationnelles, fourni un soutien en matière d'investigation numérique, de cryptomonnaie et de logiciels malveillants, et facilité le partage d'informations par le biais du groupe de travail conjoint d'action contre la cybercriminalité (J-CAT), lancé au siège d'Europol. situé là.
L'analyse médico-légale réalisée dans le cadre de cette enquête a également permis aux autorités suisses de développer des outils de décryptage des variantes du ransomware LockerGoga et MegaCortex en collaboration avec les partenaires de No More Ransom et Bitdefender. Ces outils de décryptage sont disponibles gratuitement sur www.nomoreransom.org.
Plus sur Europol.Europa.eu