La fin du groupe de rançongiciels HIVE a également marqué le début de nouvelles méthodes d'investigation : l'infiltration par des gangs de hackers signifie que les paiements de rançons ne sont plus sans alternative. L'air se raréfie pour les gangs APT.
Il y a quelques semaines, les autorités allemandes et américaines (police du Bade-Wurtemberg, FBI et services secrets) en coopération avec d'autres autorités de sécurité européennes ont détruit le réseau de pirates "Hive" après une enquête conjointe. Un commentaire de Lothar Geuenich, VP Central Europe / DACH chez Check Point.
HIVE : Les auteurs ont peur – les victimes espèrent
C'est une victoire qu'il faut fêter. Apparemment, le groupe avait déjà volé environ 100 millions d'euros à plus de 1500 70 entreprises et organisations (dont 300 en Allemagne) par le biais d'attaques de ransomwares. En infiltrant furtivement les pirates, les autorités ont pu divulguer les clés de déchiffrement à plus de 120 victimes de rançongiciels depuis juillet, leur permettant de récupérer leurs données et d'éviter près de XNUMX millions d'euros de paiements de rançon.
Voilà pour les faits. Il est vrai que ces gangs se reforment souvent sous des noms différents ou se divisent en d'autres. Cependant, cette action envoie un message important et a probablement choqué certains groupes de rançongiciels, ne sachant pas si leur gang pourrait également être surveillé. Aucune arrestation n'a été annoncée jusqu'à présent et l'enquête est en cours. Il faut considérer que les auteurs ont été observés par les autorités pendant plus de six mois à leur insu. Il sera donc intéressant de voir ce qu'il adviendra des joueurs connectés à Hive.
HIVE infiltré et piraté par les autorités
Il est également intéressant de noter que les enquêteurs - dans le cadre d'une poursuite coordonnée et par des moyens légaux - ont piraté les systèmes de Hive et ont également secrètement aidé les victimes en leur donnant les clés de déchiffrement. Pendant tout ce temps à Hive, les "affaires quotidiennes" se sont déroulées normalement. On peut s'attendre à ce que nous en apprenions davantage sur ces méthodes d'enquête numériques à l'avenir, car elles sont plus rapides et plus faciles à mettre en œuvre que l'utilisation de méthodes traditionnelles pour traquer et arrêter les cybercriminels - en particulier si l'on considère les limites de l'application de la loi internationale.
D'autres groupes de rançongiciels doivent maintenant compter avec le fait que leurs victimes recevront les clés de déchiffrement et que leurs "opérations" prendront fin rapidement. C'est leur seul levier contre leurs victimes et les prive immédiatement de la base du business du chantage aux données. Cela envoie également le message que les autorités utilisent les mêmes méthodes que les auteurs pour mener des opérations et perturber les cybercriminels.
Les entreprises font confiance aux autorités
Au mieux, avec l'aide des forces de l'ordre, les victimes n'ont pas à payer de rançon aux gangs de rançongiciels, ce qui pourrait inciter davantage d'entreprises à se manifester face à une attaque. Dans le meilleur des cas, cela pourrait réduire le nombre d'entreprises qui paient les criminels si elles voient des enquêtes réussies comme la dissolution du groupe Hive.
Certes, ce succès d'enquête (bien que remarquable) n'était pas le début de la fin de l'ère des rançongiciels. Mais cela envoie plusieurs signaux importants à tous les groupes de pirates informatiques : d'une part, les forces de l'ordre utilisent de plus en plus l'espace numérique et les tactiques des auteurs pour les battre à leur propre jeu. Cependant, l'infiltration du groupe Hive montre également que la communauté internationale a reconnu que la cybercriminalité nécessite une enquête et une coordination transfrontalières. Cela indique aux pirates qu'ils ne peuvent plus se sentir en sécurité en lançant des attaques depuis l'étranger sans crainte de justice. Il sera intéressant de voir quelles enquêtes suivront - et quel groupe de hackers a peut-être déjà été infiltré sans le savoir.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.