L’infrastructure associée à l’opération Hive ransomware-as-a-service (RaaS) a été saisie dans le cadre d’un effort coordonné d’application de la loi impliquant 13 pays.
« Les forces de l’ordre ont identifié les clés de déchiffrement et les ont partagées avec de nombreuses victimes, les aidant à retrouver l’accès à leurs données sans payer les cybercriminels », a déclaré Europol. m’a dit dans un rapport.
Le ministère américain de la Justice (DoJ) m’a dit le Federal Bureau of Investigation (FBI) a pénétré les réseaux Hive en juillet 2022 et capturé plus de 300 clés de déchiffrement qui ont ensuite été remises aux entreprises compromises par le gang, économisant ainsi 130 millions de dollars en paiements de rançon.
Le FBI a également distribué plus de 1 000 clés de décryptage supplémentaires aux précédentes victimes de Hive, a ajouté le DoJ.
Hive, qui a vu le jour en juin 2021, a été une équipe prolifique de cybercriminalité, lançant des attaques contre 1 500 organisations dans pas moins de 80 pays et lui rapportant 100 millions de dollars de profits illicites.
Les entités ciblées couvraient un large éventail de secteurs verticaux, y compris les installations gouvernementales, les communications, la fabrication critique, les technologies de l’information et les soins de santé.
Selon statistiques collecté par MalwareBytes, Hive a fait 11 victimes en novembre 2022, le plaçant à la sixième place derrière Royal (45), LockBit (34), ALPHV (19), BianLian (16) et LV (16).
« Certains acteurs de Hive ont eu accès aux réseaux de la victime en utilisant des connexions à facteur unique via le protocole de bureau à distance, des réseaux privés virtuels et d’autres protocoles de connexion réseau à distance », a expliqué Europol.
« Dans d’autres cas, les acteurs de Hive ont contourné l’authentification multifacteur et ont obtenu l’accès en exploitant les vulnérabilités. Cela a permis aux cybercriminels malveillants de se connecter sans demander le deuxième facteur d’authentification de l’utilisateur en modifiant la casse du nom d’utilisateur. »
L’opération internationale était composée d’autorités du Canada, de la France, de l’Allemagne, de l’Irlande, de la Lituanie, des Pays-Bas, de la Norvège, du Portugal, de la Roumanie, de l’Espagne, de la Suède, du Royaume-Uni et des États-Unis.