Le démantèlement annoncé jeudi d'un des principaux réseaux d'attaques au rançongiciel au monde, baptisé Hive, a souligné à quel point le piratage informatique à des fins financières est devenu une industrie ultra-efficace et spécialisée.

Dans le monde de la cybercriminalité, Hive s'était imposé comme une entreprise de services louant des logiciels et offrant des méthodes à des opérateurs cherchant à racketter leurs cibles.

Selon Ariel Ropek, directeur du renseignement en cybermenace au sein d'Avertium – une société de sécurité informatique –, la structure permettait même à des personnes dotées de faibles compétences informatiques de se mettre aux rançongiciels.

Sur le web caché – les sites Internet non référencés par les moteurs de recherche classiques –, les fournisseurs de services en rançongiciels font ouvertement la publicité de leurs produits.

« C'est vraiment un modèle commercial aujourd'hui. » — Une citation de Ariel Ropek, directeur du renseignement en cybermenace pour Avertium

Un écosystème bien établi

D'un côté figurent les courtiers et courtières d'accès initial, qui se spécialisent dans le piratage de systèmes informatiques institutionnels ou d'entreprises et vendent cet accès aux opérateurs et aux opératrices de rançongiciels.

Toutefois, ces personnes dépendent bien souvent de prestataires comme Hive (signifiant « ruche » en anglais) pour créer le programme malveillant qui permettra la demande de rançon, et pour contourner les mesures de sécurité.

Une fois insérés au sein des systèmes informatiques d'une institution ou d'une entreprise, ces programmes vont généralement geler par cryptage les données de la cible. Pour récupérer ses données, la victime devra payer.

Un développeur de services en rançongiciels, comme Hive, offre un service intégral aux opérateurs en échange d'une grande partie de la rançon, affirme Ariel Ropek. Leur but est de rendre l'opération de rançongiciel aussi "clé en main" que possible , dit-il.

Une fois le rançongiciel implanté et actif, la cible reçoit un message lui expliquant comment correspondre et combien payer pour obtenir le déverrouillage des données.

La demande de rançon peut être de quelques milliers à plusieurs millions de dollars, en fonction de l'assise financière de la cible.

La victime tentera généralement de négocier le montant sur le portail de Hive consacré à ses cibles– le plus souvent en vain.

Des dizaines de milliers de dollars peuvent être demandés aux personnes ou entreprises victimes des rançongiciels. Photo : getty images/istockphoto / Valentin Russanov

Des rançons coûteuses

L'entreprise de cybersécurité Menlo Security a publié l'an dernier les échanges entre une cible et le service commercial de Hive sur ce portail.

Lorsque la cible a offert de manière répétée une fraction des 200 000 $ demandés, Hive a d'abord gardé une position ferme, insistant que la cible pouvait se permettre de débourser une telle somme, avant de finalement réduire la demande à 50 000 $.

Si une entreprise refuse de payer, les développeurs du système se replient sur un plan B : ils menacent de publier ou de vendre les données confidentielles. Hive maintenait ainsi un site web séparé, HiveLeaks, pour publier les données.

D'autres opérateurs et opératrices se sont fait une spécialité de récolter l'argent et de s'assurer que tous les acteurs obtiennent leur part de la rançon. Enfin, des mixeurs de cryptomonnaies permettent de blanchir l'argent ainsi obtenu.

Des pirates qui continueront de sévir

Le démantèlement de Hive annoncé jeudi ne représente qu'un revers modeste pour l'industrie des services en rançongiciels : de nombreux autres spécialistes similaires à Hive continuent d'opérer.

La menace la plus importante se nomme Lockbit et vient de frapper coup sur coup au Royaume-Uni un hôpital pédiatrique et le groupe postal Royal Mail.

En novembre, le département de la Justice américain avait estimé que Lockbit avait fait plus de 1000 victimes et récolté des dizaines de millions de dollars en rançons.