Rançongiciel HIVE : l’enquête continue avec une nouvelle arrestation en France

Un nouveau membre du groupe de ransomware HIVE a été arrêté, et plusieurs centaines de milliers d’euros ont été saisis. L’un des banquiers secrets russes du réseau de ransomware Hive dort désormais en prison.

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Vous aimez nos actus inédites ? ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS        Recevez gratuitement, le samedi, PAR MAIL LES ACTUS ZATAZ de la semaine écoulée.

Le 26 janvier 2023, une action internationale a permis de mettre un terme à l’une des menaces du secteur social et économique, tant aux États-Unis qu’en Europe : le rançongiciel HIVE. Parmi les instances policières, l’Office de Lutte contre la Cybercriminalité (OFAC) et son antenne bordelaise.

HIVE avait semé la terreur en touchant plus de 1 500 entreprises, dont 59 françaises [Intersport, Altice, Les Chataingniers, Damart, l’École nationale de l’aviation civile (Enac), la mairie d’Annecy ou encore la collectivité de Guadeloupe]. 210 sociétés s’étaient retrouvées affichées sur le blog des pirates, l’ensemble de leurs données copiées avaient été diffusées provoquant des perturbations majeures dans les secteurs publics et privés. Les maîtres chanteurs de Hive exigeaient des rançons. Par exemple, 240 millions de dollars au allemand de MediaMarkt.

Un traqueur sachant traquer

C’est grâce à des investigations de l’OFAC, et d’autres services de police, qu’un suspect a été remonté [probablement Egor V., aka kuzbass80), dont les portefeuilles numériques avaient vu transiter plusieurs millions de dollars d’origine douteuse. La piste de ce cybercriminel a été repérée grâce à son activité sur les réseaux sociaux, ce qui a permis de le localiser et de le retrouver en garde à vue, le 5 décembre 2023.

Comme le précise l’AFP, l’analyse de son téléphone a révélé la détention de cryptoactifs d’une valeur de 570 000 euros. De l’argent en lien avec ses activités criminelles. D’origine Russe, son pseudo semble être tiré de la région de Kemerovo. L’homme d’une quarantaine d’années résidait à  Chypre. Il voyageait avec un passeport israélien, sous une identité autre que son nom russe.

La coopération internationale a également joué un rôle crucial dans cette affaire. L’OFAC a travaillé en étroite collaboration avec Europol, Eurojust et les autorités chypriotes (très certainement avec l’équipe de L’Office de Lutte contre la Cybercriminalité – O.C.C.) et le Laboratoire d’investigation des preuves numériques (DEFL), ce qui a conduit à la perquisition de la résidence du suspect dans une station balnéaire de l’île méditerranéenne, fournissant ainsi des éléments complémentaires dans l’enquête.

Le 9 décembre 2023, l’individu a été déféré au parquet spécialisé du tribunal judiciaire de Paris [La section J3 du tribunal judiciaire de Paris, spécialisée dans les affaires de cybercriminalité], marquant une étape importante dans la poursuite de cette affaire complexe.

D’autres membres dans la nature.

Selon un rapport publié par la société d’analyse de blockchain Chainalysis, Hive était l’une des 10 principales souches de ransomwares en termes de revenus en 2021. Il resterai encore deux affiliés de HIVE dans la nature, dont un qui ne se cache pas, le Russe Mikhail Matveev. Ce pirate s’est vanté d’avoir utilisé, régulièrement, Hive, LockBit et Babuk.

Depuis le démantèlement de Hive par le FBI, il semble que les opérateurs de HIVE se soient lancés dans un autre groupe, baptisé Hunters International. De multiples chevauchements de codes et similitudes relient Hive et Hunters.

A noter que l’action de la justice a fait son effet dans certains espaces pirates. ZATAZ a pu lire, par exemple, dans un forum russophone : « Pour ceux qui sont entrés en contact d’une manière ou d’une autre avec ces programmes d’affiliation, c’est le moment idéal pour changer vos pseudonymes, vos contacts et analyser votre OpSec.« 

Action contre les affiliés et blanchisseurs

Les actions judiciaires se multiplient. Le 21 novembre 2023, 30 propriétés ont été perquisitionnées dans les régions de Kyiv, Cherkasy, Rivne et Vinnytsia [Ukraine], ce qui a entraîné l’arrestation d’un homme de 32 ans, considéré comme l’instigateur en chef d’un groupe de maîtres chanteurs. Quatre des complices les plus actifs ont également été appréhendés.

Plus de 20 enquêteurs de Norvège, de France, d’Allemagne et des États-Unis ont été déployés à Kyiv pour assister la police nationale ukrainienne dans ses mesures d’enquête. Cette configuration a été reproduite depuis le siège d’Europol aux Pays-Bas, où un poste de commandement virtuel a été activé pour analyser immédiatement les données saisies lors des perquisitions en Ukraine.

Cette dernière opération fait suite à une première série d’arrestations en 2021 dans le cadre de la même enquête. Depuis lors, plusieurs opérations d’analyse forensique ont été organisées à Europol et en Norvège dans le but d’examiner en détail les appareils saisis en Ukraine en 2021. Ce travail de suivi forensique a facilité l’identification des suspects ciblés lors de l’opération de novembre 2023.

Dangereux, indétectables et polyvalents

Les personnes faisant l’objet de l’enquête sont soupçonnées de faire partie d’un réseau responsable d’une série d’attaques de ransomwares de haut niveau contre des organisations de 71 pays. Ces pirates informatiques sont connus pour cibler spécifiquement de grandes entreprises, paralysant efficacement leurs activités. Ils ont utilisé les ransomwares LockerGoga, MegaCortex, HIVE et Dharma, entre autres, pour mener leurs attaques. Comme l’explique Europol, Les suspects occupaient différents rôles au sein de cette organisation criminelle. Certains d’entre eux sont soupçonnés d’avoir compromis les réseaux informatiques de leurs cibles, tandis que d’autres sont suspectés d’être chargés de blanchir les paiements en cryptomonnaie effectués par les victimes pour décrypter leurs fichiers.

Des agents spéciaux du FBI ont infiltré le groupe Hive et l’ont éliminé de l’intérieur

D’anciens employés du FBI ont raconté comment leurs collègues ont arrêté les activités de HIVE. Selon le ministère américain de la Justice (DoJ), des agents du FBI ont infiltré le gang en juillet 2022 et ont fourni aux victimes plus de 300 clés de décryptage, leur évitant ainsi de devoir payer 130 millions de dollars de rançon. Les autorités américaines étaient au courant de la plupart des victimes de Hive au cours des 6 mois avant la fin du groupe.

La manière exacte dont l’opération a été menée est une information classifiée, mais l’ancien agent spécial du FBI, Darren Mott, spécialisé dans la cybercriminalité, pense que le FBI avait un agent infiltré ou, plus probablement, que le Bureau a recruté quelqu’un au sein de Hive. L’un des signes évidents d’un initié est un déchiffreur non protégé. L’ancien conseiller du FBI, Chris Pearson, a déclaré que l’opération pourrait également combiner les deux approches. Par exemple, les autorités pourraient recruter un initié pour inviter « sa » personne à rejoindre l’équipe.

Une approche différente aurait pu être utilisée pour prendre le contrôle de Hive : des pirates informatiques du FBI ont pénétré les systèmes de Hive sans aide interne. Une fois à l’intérieur, les autorités fédérales ont commencé à suivre les activités en ligne des cybercriminels. « Ils piratent essentiellement un environnement, restent assis, observent et collectent des informations sur l’opération, tout comme le font les cybercriminels lorsqu’ils attaquent une entreprise », a déclaré Pearson.

Le FBI a fourni plus de 300 clés de décryptage aux victimes de Hive, mais les pirates n’ont pas remarqué le nombre d’attaques infructueuses. Cela peut être dû au fait que Hive fonctionnait sur un modèle RaaS (Ransomware-as-a-Service) : le groupe comptait tellement d’affiliés qu’il n’a pas suivi les victimes.

Randy Pargman, ancien membre de la Cyber ​​​​Task Force du FBI, estime que plus les autorités restent longtemps à l’intérieur, meilleures sont leurs chances de détruire les systèmes des criminels. S’ils avaient arrêté immédiatement le serveur Hive, les attaquants auraient simplement restauré un autre serveur et poursuivi leurs activités. Au lieu de cela, les forces de l’ordre ont surveillé le serveur et ont discrètement fourni aux victimes des clés de décryptage.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.