Le FBI saisi le site des pirates du groupe HIVE

Le site darkweb des hackers malveillants du groupe HIVE, des pirates informatiques spécialisés dans le rançonnage d’entreprises, saisi par les autorités américaines.

Au suivant ! Le groupe de pirates informatiques HIVE, connu pour s’être spécialisé dans la prise d’otage numérique d’entreprise voit son site web (caché dans le darkweb) saisi par les autorités américaines. Le FBI explique avoir bloqué l’espace servant aux pirates à afficher leurs malveillances.

Une opération internationale et une coopération serrée entre les forces de l’ordre américaine et allemande. A noter que les polices et gendarmerie Canadienne (Ontario) et Française, ainsi que les forces de l’ordre des Pays-Bas, Norvège, Portugal, Espagnole, Roumaine, Suédoise et Britannique étaient sur les rangs dans cette action.

Les trois domaines .onion utilisés par les pirates sont hors service. Le FBI avait infiltré Hive depuis l’été 2022.

HIVE a piraté plus de 1500 entreprises. Les blogs servaient à Hive pour diffuser les données d’entreprises infiltrées et rançonnées. ZATAZ a pu référencer, depuis début décembre 2021, 209 entreprises ainsi jetées en pâture (sur plus de 1 500 cas de sociétés extorquées).

Parmi les victimes, beaucoup de PME américaines, ainsi que la British Columbia Institute Of Technology (janvier 2022) ; Hyundai Samho Heavy Industries Co. Ltd. (Février 2022) ; le Ministère des Affaires Étrangères d’Indonésie ; Pollmann ou encore Altice International (Août 2022).

Le FBI parlait, en novembre 2022, de 1 300 entreprises dans le monde, et le vol d’environ 100 millions de dollars aux victimes au cours des 18 derniers mois.

Opération internationale pour pirates internationaux

Une opération chapeautée par le Département de Justice de Floride, le bureau cybercrime et des droits de la propriété intellectuelle, « et le soutien important d’Europol » indique le FBI. Un message diffusé en Anglais et en Russe !

A noter que les autorités Allemande et Néerlandaise ont été sollicitées pour bloquer les machines de HIVE. Côté tribunaux, la Californie, la Floride et la Virginie ont 2/3 choses à réclamer à HIVE.

Hive, auteur de plusieurs dizaines de piratages, avait impacté fin novembre 2022 l’enseigne française Intersport. Une prise d’otage qui avait obligé l’entreprise à bloquer l’intégralité de son informatique. « Chers clients, nous sommes confrontés actuellement à une cyberattaque des serveurs d’Intersport qui nous empêche l’accès à nos caisses, au service de carte de fidélité et au service de carte cadeau » était-il possible de lire sur les vitrines des boutiques.

HIVE fonctionnait aussi avec des affiliés qui exfiltraient les documents des ordinateurs d’entreprises infiltrées. Ils ne ciblaient pas exclusivement les systèmes Windows : les développeurs de Hive ont également proposé des variantes de ransomware pour Linux, VMware ESXi et FreeBSD.

Attendons de voir si des pirates ont été arrêtés ou s’il ne s’agit que d’une prise en main, par le FBI, du site HIVE. La fin d’un site, ne veut malheureusement pas dire la fin d’un groupe. Pour rappel CONTI ou encore Darkside ont changé de nom pour se faire appeler ALPHV, par exemple.

87% des entreprises piratées auraient payé les maîtres chanteurs !

Saisi, et aprés ?

HIVE faisait la promotion de son programme par le biais de messages privés et de forums criminels russophones, mais pas que. L’équipe gérait également un site de fuite dédié (DLS) où les affiliés échangeaient avec les victimes. Un SAV permettant de mèner des négociations et publier, en cas de non paiement, les données volées.

La saisie du DLS et du portail de négociation des victimes constitue un revers majeur pour les opérations HIVE.

Sans accès à l’un ou l’autre de ces sites, les groupes affiliés à HIVE vont changer d’équipe, en faisant un trait sur les victimes. Du moins espérons le. Ils restent en possession de données volées. Le FBI a très certainement cartographié les affiliés présents. Les agents étaient infiltrés depuis, au moins, juillet 2022.

Il reste quelque peu surprenant que le groupe HIVE ait placé ses serveurs aux Etats-Unis, à Los Angeles. Pensait-il être en sécurité, cachées par le réseau Tor, sur le sol de l’Oncle Sam ?

Une action qui a permis au bureau fédéral d’empêcher la collecte de plus de 130 millions de dollars de rançons auprès de plus de 300 victimes. Action impressionnante, mais qui ne doit pas cacher le vrai problème : les entreprises qui ont versé une rançon, sans alerter de leur piratage, vol de données, Etc.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.