Les pirates du groupe Hive infiltré par le FBI, 120 millions d'euros de paiements de rançons évités: des entreprises belges visées, dont MediaMarkt

En conséquence, environ 120 millions d'euros de paiements de rançongiciels auraient été évités, ont rapporté les autorités jeudi après-midi. Hive est un groupe de cybercriminels qui utilise des rançongiciels pour attaquer des entreprises et des organisations. Il agit à l'échelon mondial, des entreprises belges n'y ont pas échappé.

Après cela, les ordinateurs et les fichiers sont inutilisables. Ce n'est que lorsque des millions d'euros en bitcoins sont payés qu'ils sont restitués.

En novembre 2021, la chaîne de distribution MediaMarkt avait, par exemple, été victime de Hive. Les succursales en Allemagne, aux Pays-Bas et en Belgique ont été touchées.

Selon le média néerlandais RTL Nieuws, MediaMarkt a dû demander quelles étaient les exigences de Hive via une sorte de service client en ligne. Au bout de quatre heures, la chaîne de magasins a reçu une réponse : "Pour rendre vos fichiers à nouveau accessibles, vous devez payer 50 millions de dollars en bitcoins." MediaMarkt a finalement pu restaurer les systèmes à l'aide de sauvegardes. L'entreprise n'a pas payé, dit-elle.

En juin 2021, un total de 1 500 entreprises dans 80 pays ont été victimes de Hive. Ils y ont collecté 100 millions d'euros de rançon, selon Europol. "Nous avons piraté les hackers", a déclaré la vice-ministre américaine de la Justice Lisa Monaco. Selon elle, le piratage des services de police a permis d'aider les victimes et le paiement de 120 millions d'euros de rançon a été évité.

Hive, un réseau de rançongiciel redoutablement efficace

Le démantèlement d'un des principaux réseaux d'attaques au rançongiciel au monde, baptisé Hive, a souligné à quel point le piratage informatique à des fins financières est devenu une industrie ultra-efficace et spécialisée.

Dans le monde de la cybercriminalité, Hive s'était imposée comme une entreprise de services louant des logiciels et des méthodes prêt à l'emploi à des opérateurs cherchant à racketter leurs cibles.

Selon Ariel Ropek, directeur du renseignement en cybermenace chez Avertium - une société de sécurité informatique -, la structure permettait même à des criminels dotés de faibles compétences informatiques de se mettre aux rançongiciels.

Sur le "dark web" (les sites internet non référencés par les navigateurs classiques), les fournisseurs de services en rançongiciels font ouvertement la publicité de leurs produits.

"C'est vraiment un modèle commercial aujourd'hui", affirme M. Ropek.

D'un côté figurent les courtiers en accès initial, qui se spécialisent dans le piratage de systèmes informatiques institutionnels ou d'entreprises, et vendent ensuite cet accès aux opérateurs de rançongiciels.

Mais ces opérateurs dépendent bien souvent de prestataires comme Hive ("Ruche", en anglais) pour créer le programme malveillant qui permettra la demande de rançon, et pour contourner les mesures de sécurité.

Une fois insérés au sein des systèmes informatiques d'une institution ou d'une entreprise, ces programmes vont généralement geler par cryptage les données de la cible. Pour récupérer ses données, la victime devra payer.

Un développeur de services en rançongiciels, comme Hive, offre un service intégral aux opérateurs en échange d'une grande partie de la rançon, affirme Ariel Ropek.

"Leur but est de rendre l'opération de rançongiciel aussi 'clé en mai' que possible", dit-il.

Une fois le rançongiciel implanté et activé, la cible reçoit un message lui expliquant comment correspondre et combien payer pour obtenir le déverrouillage des données.

La demande de rançon peut être de quelques milliers à plusieurs millions de dollars, en fonction de l'assise financière de la cible.

La victime va généralement tenter de négocier le montant sur le portail de Hive dédié à ses cibles - en vain le plus souvent.

L'entreprise de cybersécurité Menlo Security a publié l'an dernier les échanges entre une cible et le "service commercial" de Hive, sur ce portail.

Lorsque cette cible a offert de manière répétée une fraction des 200.000 dollars demandés, Hive a d'abord gardé une position ferme, insistant que la cible pouvait se permettre de débourser une telle somme, avant de finalement réduire la demande à 50.000 dollars.

Si une entreprise refuse de payer, les développeurs du système se replient sur un plan B: ils menacent de publier ou de vendre les données confidentielles.

Hive maintenait ainsi un site web séparé, HiveLeaks, pour publier les données.

D'autres opérateurs se sont fait une spécialité de récolter l'argent et de s'assurer que tous les acteurs obtiennent leur part de la rançon.

Enfin, des "mixeurs" de cryptomonnaies permettent de blanchir l'argent ainsi obtenu.

Le démantèlement annoncé jeudi de Hive ne représente finalement qu'un revers modeste pour l'industrie des services en rançongiciels: de nombreux autres spécialistes similaires à Hive continuent d'opérer.

La menace la plus importante se nomme Lockbit, qui vient de frapper coup sur coup au Royaume-Uni un hôpital pédiatrique et le groupe postal Royal Mail.

En novembre, le ministère de la Justice américain avait estimé que Lockbit avait fait plus de 1.000 victimes et récolté des dizaines de millions de dollars en rançons.

Et il ne sera pas compliqué pour les opérateurs de Hive de recommencer, estime Ariel Ropek.

"C'est un processus assez simple d'installer de nouveaux serveurs, de générer de nouvelles clés de cryptage - avec généralement une nouvelle image de marque", souligne-t-il.