Le département de la Justice américaine vient d'annoncer le démantèlement de l'infrastructure du rançongiciel Hive, qui avait, depuis 2021, ciblé « plus de 1 500 victimes dans plus de 80 pays du monde entier, notamment des hôpitaux, des districts scolaires, des entreprises financières et des infrastructures critiques », ainsi que la holding financière du groupe Altice de Patrick Drahi, et « reçu plus de 100 millions de dollars en paiements de rançons ».

Le communiqué précise que le FBI avait pénétré ses réseaux en juillet 2022, et offert plus de 300 clefs de déchiffrement aux victimes qui étaient attaquées dans le monde entier, ainsi que 1 000 autres clefs à ses précédentes victimes, « évitant ainsi à ces dernières d'avoir à payer 130 millions de dollars de rançons ».

Mercredi soir, en collaboration avec les autorités allemandes et néerlandaises, la Justice américaine a enfin « pris le contrôle des serveurs et sites Web que Hive utilise pour communiquer avec ses membres, perturbant ainsi la capacité de Hive à attaquer et à extorquer des victimes ».

Europol précise que cette opération internationale a impliqué les autorités de 13 pays au total, dont la police française, et que l'analyse des données collectées « devrait déclencher de nouvelles activités d'enquête ».

Pour rappel, Hive était un ransomware-as-a-service (RaaS) que ses administrateurs et développeurs mettaient à disposition de ses affiliés, par abonnement, via une interface facile à utiliser, pour leur permettre de déployer à l'encontre des victimes qu'ils parvenaient à identifier, en échange d'un pourcentage de 20 % de chaque paiement de rançon effectué :

« Hive utilisait un modèle d'attaque à double extorsion. Avant de chiffrer le système de la victime, l'affilié exfiltrait les données sensibles, demandait ensuite une rançon pour obtenir la clé de déchiffrement et promettait de ne pas publier les données volées. Une fois que la victime avait payé, les affiliés et administrateurs se partageaient la rançon à raison de 80/20 %. »

Hive publiait par ailleurs les données des victimes qui ne payaient pas la rançon, ce qui avait permis à Reflets.info de publier un certain nombre d'enquêtes au sujet de la holding financière du groupe Altice de Patrick Drahi, puis aux avocats de ce dernier de réclamer leur censure par le tribunal de commerce, avant que la décision de ce dernier ne soit déboutée en appel.