Europol a soutenu les autorités allemandes, néerlandaises et américaines dans le démantèlement de l’infrastructure du prolifique rançongiciel HIVE. Cette opération mondiale a impliqué les autorités de 13 pays au total. Les forces de l’ordre ont identifié les clés de déchiffrement et les ont partagées avec de nombreuses victimes, les aidant à retrouver l’accès à leurs informations sans payer les cybercriminels.
En 2015, le rançongiciel HIVE a été reconnu comme un risque majeur car il a en fait été utilisé pour mettre en péril et chiffrer les informations et les systèmes informatiques de grandes multinationales informatiques et pétrolières dans l’UE et aux États-Unis. Depuis juin 2021, plus de 1 500 entreprises de plus de 80 pays du monde ont été victimes aux associés de HIVE et a perdu près de 100 millions d’euros en paiements de rançon.
Les affiliés ont exécuté les cyberattaques, mais le rançongiciel HIVE a été produit, maintenu et mis à jour par des concepteurs. Les affiliés ont utilisé le modèle de double extorsion du « ransomware-as-a-service » ; au départ, ils copiaient les informations puis cryptaient les fichiers. Ils ont demandé une rançon pour décrypter les fichiers et pour ne pas divulguer les informations prises sur le site Web de Hive Leakage. Lorsque les victimes ont payé, la rançon a ensuite été répartie entre les affiliés (qui ont reçu 80 %) et les concepteurs (qui ont reçu 20 %).
D’autres groupes de ransomwares dangereux ont également utilisé ce soi-disant ransomware-as- modèle a-service (RaaS) pour perpétrer des attaques de haut niveau au cours des deux dernières années. Celle-ci a en effet consisté à demander des millions d’euros de rançons pour décrypter les systèmes touchés, souvent dans des entreprises préservant des infrastructures critiques. Depuis juin 2021, les contrevenants ont utilisé le rançongiciel HIVE pour cibler de nombreuses entreprises et secteurs d’installations vitaux, notamment les installations gouvernementales, les entreprises de télécommunications, la production, l’infotechnologie, les soins de santé et la santé publique.
Dans une attaque majeure, HIVE les affiliés ont ciblé un centre de santé, ce qui a eu des répercussions extrêmes sur la façon dont l’établissement de santé pourrait gérer la pandémie de COVID-19. En raison de l’attaque, cet établissement de santé a dû se tourner vers des méthodes analogiques pour traiter les clients existants et n’a pas été en mesure d’en accepter de nouveaux.
Les affiliés ont attaqué les entreprises de diverses manières. Certains acteurs HIVE ont accédé aux réseaux de la victime en utilisant des connexions à facteur unique via la procédure de bureau à distance, des réseaux personnels virtuels et d’autres protocoles de connexion réseau à distance.
Dans d’autres cas, les acteurs HIVE ont contourné l’authentification multifacteur et obtenu en exploitant des vulnérabilités. Cela a permis aux cybercriminels malveillants de se connecter sans délai pour le deuxième facteur d’authentification de l’utilisateur en modifiant la casse du nom d’utilisateur. Certaines stars de HIVE ont également obtenu un premier accès aux réseaux des victimes en distribuant des e-mails de phishing avec des pièces jointes destructrices et en exploitant les vulnérabilités du système d’exploitation des gadgets attaqués.
120 millions d’euros économisés grâce aux efforts d’atténuation
Europol a rationalisé les efforts d’atténuation des victimes avec d’autres pays de l’UE, ce qui a empêché les entreprises personnelles de tomber avec le rançongiciel HIVE. Les forces de l’ordre ont fourni le secret de décryptage aux entreprises qui avaient été compromises afin de les aider à décrypter leurs données sans payer la rançon. Cet effort a permis d’éviter le paiement de plus de 130 millions de dollars, soit l’équivalent d’environ 120 euros, d’innombrables paiements de rançon.
Europol a facilité l’échange de détails, soutenu la coordination de l’opération et financé des conférences fonctionnelles au Portugal et dans les Pays-Bas. Europol a également offert un soutien analytique reliant les informations facilement disponibles à différentes affaires pénales à l’intérieur et à l’extérieur de l’UE, et a soutenu l’examen par le biais de la crypto-monnaie, des logiciels malveillants, du décryptage et de l’analyse médico-légale.
Lors des journées d’action, Europol a détaché quatre professionnels pour aider à collaborer aux activités sur le terrain. Europol a soutenu les autorités répressives impliquées en collaborant à l’analyse des crypto-monnaies et des logiciels malveillants, en recoupant les informations fonctionnelles par rapport aux bases de données d’Europol, ainsi qu’en approfondissant l’analyse opérationnelle et l’assistance médico-légale. L’analyse de ces informations et d’autres cas associés devrait déclencher davantage d’activités d’enquête.
Le groupe de travail conjoint sur la lutte contre la cybercriminalité (J-CAT) d’Europol a également soutenu l’opération. Ce groupe fonctionnel permanent est composé d’agents intermédiaires de cybercriminalité de divers pays qui travaillent sur des examens de cybercriminalité de haut niveau.
Toute l’actualité en temps réel, est sur L’Entrepreneur
