Le FBI saisi le site des pirates du groupe HIVE

Posted On 26 Jan 2023

Le site darkweb des hackers malveillants du groupe HIVE, des pirates informatiques spécialisés dans le rançonnage d’entreprises, saisi par les autorités américaines.

Au suivant ! Le groupe de pirates informatiques HIVE, connu pour s’être spécialisé dans la prise d’otage numérique d’entreprise voit son site web (caché dans le darkweb) saisi par les autorités américaines. Le FBI explique avoir bloqué l’espace servant aux pirates à afficher leurs malveillances.

Une opération internationale et une coopération serrée entre les forces de l’ordre américaine et allemande. A noter que les polices et gendarmerie Canadienne (Ontario) et Française, ainsi que les forces de l’ordre des Pays-Bas, Norvège, Portugal, Espagnole, Roumaine, Suédoise et Britannique étaient sur les rangs dans cette action.

Les trois domaines .onion utilisés par les pirates sont hors service. Le FBI avait infiltré Hive depuis l’été 2022.

HIVE a piraté plus de 1500 entreprises. Les blogs servaient à Hive pour diffuser les données d’entreprises infiltrées et rançonnées. ZATAZ a pu référencer, depuis début décembre 2021, 209 entreprises ainsi jetées en pâture (sur plus de 1 500 cas de sociétés extorquées).

Parmi les victimes, beaucoup de PME américaines, ainsi que la British Columbia Institute Of Technology (janvier 2022) ; Hyundai Samho Heavy Industries Co. Ltd. (Février 2022) ; le Ministère des Affaires Étrangères d’Indonésie ; Pollmann ou encore Altice International (Août 2022).

Le FBI parlait, en novembre 2022, de 1 300 entreprises dans le monde, et le vol d’environ 100 millions de dollars aux victimes au cours des 18 derniers mois.

Opération internationale pour pirates internationaux

Une opération chapeautée par le Département de Justice de Floride, le bureau cybercrime et des droits de la propriété intellectuelle, « et le soutien important d’Europol » indique le FBI. Un message diffusé en Anglais et en Russe !

A noter que les autorités Allemande et Néerlandaise ont été sollicitées pour bloquer les machines de HIVE. Côté tribunaux, la Californie, la Floride et la Virginie ont 2/3 choses à réclamer à HIVE.

Hive, auteur de plusieurs dizaines de piratages, avait impacté fin novembre 2022 l’enseigne française Intersport. Une prise d’otage qui avait obligé l’entreprise à bloquer l’intégralité de son informatique. « Chers clients, nous sommes confrontés actuellement à une cyberattaque des serveurs d’Intersport qui nous empêche l’accès à nos caisses, au service de carte de fidélité et au service de carte cadeau » était-il possible de lire sur les vitrines des boutiques.

HIVE fonctionnait aussi avec des affiliés qui exfiltraient les documents des ordinateurs d’entreprises infiltrées. Ils ne ciblaient pas exclusivement les systèmes Windows : les développeurs de Hive ont également proposé des variantes de ransomware pour Linux, VMware ESXi et FreeBSD.

Attendons de voir si des pirates ont été arrêtés ou s’il ne s’agit que d’une prise en main, par le FBI, du site HIVE. La fin d’un site, ne veut malheureusement pas dire la fin d’un groupe. Pour rappel CONTI ou encore Darkside ont changé de nom pour se faire appeler ALPHV, par exemple.

87% des entreprises piratées auraient payé les maîtres chanteurs !

Saisi, et aprés ?

HIVE faisait la promotion de son programme par le biais de messages privés et de forums criminels russophones, mais pas que. L’équipe gérait également un site de fuite dédié (DLS) où les affiliés échangeaient avec les victimes. Un SAV permettant de mèner des négociations et publier, en cas de non paiement, les données volées.

La saisie du DLS et du portail de négociation des victimes constitue un revers majeur pour les opérations HIVE.

Sans accès à l’un ou l’autre de ces sites, les groupes affiliés à HIVE vont changer d’équipe, en faisant un trait sur les victimes. Du moins espérons le. Ils restent en possession de données volées. Le FBI a très certainement cartographié les affiliés présents. Les agents étaient infiltrés depuis, au moins, juillet 2022.

Il reste quelque peu surprenant que le groupe HIVE ait placé ses serveurs aux Etats-Unis, à Los Angeles. Pensait-il être en sécurité, cachées par le réseau Tor, sur le sol de l’Oncle Sam ?

Une action qui a permis au bureau fédéral d’empêcher la collecte de plus de 130 millions de dollars de rançons auprès de plus de 300 victimes. Action impressionnante, mais qui ne doit pas cacher le vrai problème : les entreprises qui ont versé une rançon, sans alerter de leur piratage, vol de données, Etc.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.