Le FBI a secrètement infiltré le réseau Hive et, en plus des serveurs de clés et des clés de déchiffrement, a même repris la page de fuite du groupe Hive sur le dark web. Ce faisant, le FBI, le BKA allemand, la police du Bade-Wurtemberg et Europol ont déjoué des demandes de rançon de plus de 130 millions de dollars américains.
Le ministère américain de la Justice a annoncé que sa campagne de perturbation d'un mois contre le groupe de rançongiciels Hive a maintenant porté ses fruits. Le groupe de rançongiciels était responsable de plus de 1.500 80 victimes dans plus de XNUMX pays. Y compris les hôpitaux, les districts scolaires, les sociétés financières et les infrastructures critiques (KRITIS). L'action était un effort conjoint du FBI, du BKA allemand, de la police du Bade-Wurtemberg et d'Europol.
Plus de 1.300 XNUMX clés de déchiffrement pour les victimes de Hive
Dès la fin juillet 2022, le FBI a pénétré les réseaux informatiques de Hive, capturé ses clés de déchiffrement et les a remises aux victimes. En conséquence, 130 millions de dollars de la rançon demandée sont déjà restés impayés. Depuis qu'il a infiltré le réseau de Hive en juillet 2022, le FBI a publié plus de 300 clés de déchiffrement pour les victimes de Hive ciblées. De plus, le FBI a distribué plus de 1.000 XNUMX clés de déchiffrement supplémentaires aux précédentes victimes de Hive.
Enfin, le département a annoncé aujourd'hui qu'en coordination avec les autorités allemandes chargées de l'application de la loi (Bundeskriminalamt, CID Esslingen) et la Dutch National High Tech Crime Unit, il a pris le contrôle des serveurs et des sites Web que Hive utilise pour communiquer avec ses membres, l'augmentation de la capacité de la Ruche à attaquer et à faire chanter les victimes a été désactivée.
La cybersurveillance du 21e siècle
"La perturbation par le ministère de la Justice du groupe de rançongiciels Hive devrait parler aussi fort aux victimes de la cybercriminalité qu'aux auteurs", a déclaré la procureure générale adjointe Lisa O. Monaco. « Dans une cybersurveillance du 21e siècle, notre équipe d'enquêteurs a renversé la situation en volant les clés de déchiffrement de Hive et en les donnant aux victimes, empêchant finalement plus de 130 millions de dollars de paiements pour les rançongiciels. Nous continuerons à faire tout notre possible pour lutter contre la cybercriminalité et placer les victimes au centre de nos efforts pour réduire la cybermenace.
Hive a même fait chanter les hôpitaux
Les attaques de rançongiciel Hive ont considérablement perturbé les opérations quotidiennes des victimes dans le monde entier et ont eu un impact sur les réponses à la pandémie de COVID-19. Dans un cas, un hôpital attaqué par le rançongiciel Hive a dû recourir à des méthodes analogues pour traiter les patients existants et n'a pas été en mesure d'accepter de nouveaux patients immédiatement après l'attaque.
Hive a utilisé un modèle de ransomware-as-a-service (RaaS) avec des administrateurs et des affiliés. RaaS est un modèle basé sur un abonnement, où les développeurs créent des ransomwares et créent une interface facile à utiliser. Des partenaires sont ensuite recrutés pour utiliser le rançongiciel contre les victimes. Les partenaires ont identifié des cibles et déployé le logiciel malveillant préemballé pour attaquer les victimes. Le groupe Hive gagne alors un pourcentage sur chaque paiement de rançon réussi.
Modèle de ruche utilisé double chantage
Les acteurs de Hive ont utilisé un modèle d'attaque à double extorsion. Avant de chiffrer le système victime, le partenaire doit exfiltrer ou voler des données sensibles. Le partenaire a alors exigé une rançon à la fois pour décrypter le système et pour s'engager à ne pas publier les données volées. Après qu'une victime a payé, les partenaires et les administrateurs se partagent la rançon 80/20. Hive a publié les données des victimes qui n'ont pas payé sur sa page de fuite.
Plus sur Justice.gov