La plateforme de revendication et de vente des données des hackers de Hive est indisponible. Elle a été fermée par le FBI et Europol. Ce collectif était responsable de la cyberattaque contre le groupe Altice (SFR, BFM, RMC).

Fin de carrière pour les pirates russophones de Hive ? Ce 26 janvier, le site – hébergé sur le darknet – de l’un des plus prolifiques collectifs de hackers est fermé. Seule une image avec les sigles du FBI, d’Europol et de la police allemande est visible sur l’écran avec un message : « Le site a été saisi. Le bureau fédéral d’investigation a saisi le site dans le cadre d’une action conjointe contre le site de ransomware Hive. »

La page d'acceuil du site darknet de Hive. // Source : Numerama
La page d’accueil du site darknet de Hive. // Source : Numerama

La justice américaine et Europol ont confirmé ce 26 janvier avoir saisi les serveurs du groupe hébergé aux États-Unis. Ce dispositif est assez classique, lorsque les forces de l’ordre mènent une opération décisive contre un site illégal. Les gestionnaires de la plateforme sont généralement arrêtés en parallèle. Un message similaire a été, par exemple, publié lors de la saisie du célèbre RaidForums spécialisé dans la vente de données ou encore pour le site similaire WeLeakInfo.

Un groupe reconnu sur le marché des hackers

Hive est à la fois un collectif de pirates et un logiciel malveillant. Le groupe initial fait louer le rançongiciel – on parle de ransomware as service pour désigner cette technique – à de nombreux hackers et prend une commission sur les opérations réussies. Cette méthode est devenue très rentable sur le marché du piratage et Hive s’est imposé comme l’un des logiciels les plus efficaces pour piéger les entreprises.

Les hackers du collectif ont réussi à extorquer plus de 100 millions de dollars — environ 97 millions d’euros — sur plus d’un millier de victimes depuis juin 2021, selon le FBI. Parmi les victimes françaises, on peut citer le groupe Altice, propriétaire de SFR et BFM, l’entreprise de textile Damart ou encore l’enseigne Intersport. Le FBI considère que Hive fait partie du top 5 mondial. La fermeture du site et du réseau va empêcher les pirates d’utiliser le logiciel.

L’origine des attaquants est difficile à déterminer, mais quelques indices laissent croire qu’ils seraient originaires de Russie. Cela ne veut pas dire qu’ils résident dans ce pays, de nombreux pirates travaillent à différents endroits du monde. Un hacker affilié au groupe de ransomware Lockbit a par exemple été arrêté au Canada. « L’enquête pour les capturer est encore en cours » indique la justice américaine dans sa conférence du 26 janvier.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !