Journal d'investigation en ligne
Dossier
par Antoine Champagne - kitetoa

Le groupe Hive durement touché par le FBI et Europol

Le groupe de ransomware était à l'origine du piratage d'Altice

Les enquêteurs américains ont remplacé la page d'accueil du site de ransomware par une page annonçant la saisie du site. Pas d'arrestation pour l'instant, mais quelques informations sur l'infiltration de l'infrastructure des pirates.

Elle a bien changé, la page du groupe de ransomware Hive... - Copie d'écran
Vous lisez un article réservé aux abonnés.

Le FBI a largement communiqué ce jeudi 26 janvier 2023 sur une opération menée depuis plusieurs mois et ayant abouti à la mise hors-ligne du site du groupe de ransomware Hive. Ce groupe particulièrement actif (le FBI parle de 1.500 victimes dans 80 pays) était l'auteur du piratage du groupe Altice et de la publication des données sur Internet en août dernier. Il s'agit d'une opération menée avec Europol et 13 pays, principalement l'Allemagne.

En juillet 2022, le FBI aurait obtenu un accès au réseau de Hive et pu obtenir des clefs de déchiffrement qui auraient ensuite été fournies à plus de 300 victimes afin qu'elles puissent récupérer leurs données sans avoir à payer la rançon demandée par les pirates. Quelques 1000 anciennes victimes auraient également reçu une clef de déchiffrement.

« Dans le cadre d'une surveillance cybernétique du 21e siècle, notre équipe d'enquêteurs a pris le dessus sur Hive, en s'emparant de ses clés de déchiffrement, en les transmettant aux victimes et en évitant finalement le paiement de plus de 130 millions de dollars de rançon. Nous continuerons à riposter à la cybercriminalité par tous les moyens possibles et à placer les victimes au centre de nos efforts pour atténuer la cybermenace. », a indiqué Lisa Monaco, vice-Attorney General. Europol parle de 120 millions de rançon évités avec cette opération. Seuls des serveurs ont été saisis, aucune arrestation n'a été faite à ce stade.

Le FBI estime que depuis juin 2021, le groupe Hive a visé plus de 1.500 victimes dans le monde entier et reçu des paiements de rançon pour plus de 100 millions de dollars. Ce chiffre rappelle que les montants liés aux ransomware sont encore ridicules par rapport à d'autres activités illégales.

Altice a-t-elle menti au tribunal ?

Alors que le FBI révèle aujourd'hui avoir fourni les clefs pour déchiffrer les données des victimes qui se sont manifestées auprès de lui, mais aussi de victimes qui n'ont pas dénoncé les attaques dont elles étaient victimes, les déclarations d'Altice devant le tribunal de commerce où elle poursuivait Reflets méritent d'être relues avec attention.

Le groupe de Patrick Drahi a affirmé et réaffirmé lourdement que les articles de Reflets augmentaient la pression sur Altice pour payer la rançon, les pirates menaçant de publier d'autres documents internes (75% du total selon les premières affirmations d'Altice).

Tout d'abord, le groupe Hive n'avait plus grand chose à diffuser après la première publication, une possibilité que nous avions soulevée et qu'Altice avait été forcée d'admettre. Selon un décompte hasardeux d'un cabinet de consultants (Accuracy), il restait à peine 26 Go entre les mains des pirates. Si tant est que Accuracy a bien réussi à tout télécharger, ce qui de son aveu même est peu probable.

Rapport d'Accuracy fourni par Altice dans la procédure l'opposant à Reflets. - Copie d'écran
Rapport d'Accuracy fourni par Altice dans la procédure l'opposant à Reflets. - Copie d'écran

Ensuite, le FBI qui explique avoir la main sur l'infrastructure de Hive depuis juillet 2022 indique avoir contacté les victimes en cours d'attaques (Altice est piratée fin août et le FBI évoque par exemple une attaque du 14 août), y compris des victimes qui ne se seraient pas signalées auprès du Bureau. Altice n'est certainement pas une minuscule entreprise et n'a pas pu manquer d'attirer l'attention du FBI lorsqu'elle a été victime de Hive si ce dernier avait la main sur toute l'infrastructure interne du groupe de ransomware.

Extrait de l'affidavit (déclaration sous serment) d'un agent en charge de l'enquête, publié par le FBI - Copie d'écran
Extrait de l'affidavit (déclaration sous serment) d'un agent en charge de l'enquête, publié par le FBI - Copie d'écran

D'ici à imaginer que le FBI a transmis une clef de déchiffrement à Altice et que Altice savait que le FBI allait faire disparaître le site de Hive de Tor, il n'y qu'un pas, que nous ne pouvons évidement pas franchir pour l'instant. Mais si tel était le cas, les déclarations d'Altice devant le tribunal pour tenter d'obtenir une condamnation de Reflets seraient... problématiques.

« Nous avons également partagé des clés avec de nombreuses victimes à l'étranger par l'intermédiaire de nos bureaux d'attachés juridiques basés à l'étranger, comme lorsque nous avons donné à un hôpital étranger un décrypteur qu'il a utilisé pour remettre ses systèmes en état avant même le début des négociations, ce qui a pu sauver des vies. _[...] _Malheureusement, au cours de ces sept derniers mois, nous avons constaté que seulement 20 % environ des victimes de Hive ont signalé des problèmes potentiels aux forces de l'ordre. Ici, heureusement, nous avons quand même pu identifier et aider de nombreuses victimes qui n'ont pas fait de signalement.. », a expliqué Christopher Wray, directeur du FBI.

Alors qu'Altice tente devant la justice (tribunal de commerce et au pénal) de prouver une supposée complicité entre Hive et Reflets, de nous présenter au mieux comme des receleurs, il est étonnant de constater que le FBI et Europol n'ont pas saisi les serveurs de notre journal ni remplacé notre page d'accueil par leur propre page. Patrick Drahi et son conseil Maître Christophe Ingrain doivent être perplexes.

4 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée