Des logiciels malveillants neutralisés dans une vaste opération internationale
Publié le - par Le Blob avec l'AFP
Quatre personnes ont été arrêtées et plus de 100 serveurs mis hors ligne lors de « la plus grande opération jamais réalisée » contre des logiciels malveillants jouant un rôle majeur dans le déploiement de rançongiciels, a annoncé jeudi Europol.
Baptisée « Endgame », cette opération internationale a eu « un impact mondial sur l’écosystème des +droppers+ », a déclaré Europol, désignant un type de logiciel utilisé pour insérer d’autres maliciels dans un système cible.
Outre les quatre interpellations, en Arménie et Ukraine, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d’Europe.
Ce coup de filet, coordonné entre les 27 et 29 mai depuis le siège de l’agence européenne de police à La Haye, a aussi donné lieu à près d’une vingtaine de perquisitions en Arménie, Ukraine, ainsi qu’au Portugal et Pays-Bas.
Plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada.
Ce sont principalement des entreprises, autorités et institutions nationales qui ont été victimes des « systèmes malveillants » démantelés, selon l’agence judiciaire européenne, Eurojust.
La police néerlandaise a estimé les dommages subis à des « centaines de millions d’euros ».
« Des millions de particuliers ont également été victimes », a-t-elle ajouté.
Selon l’enquête, ouverte en 2022, l’un des principaux suspects a gagné au moins 69 millions d’euros en cryptomonnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a détaillé Eurojust.
Les autorités ont visé en premier lieu les groupements à l’origine des six familles de logiciels malveillants : IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot.
Ces « droppers » sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l’Office fédéral de police criminelle allemand et le parquet de Francfort.
Principale menace
Les droppers « permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles », a expliqué Europol.
« Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés », a ajouté l’agence.
« Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d’infection », a-t-elle précisé.
Dans les secteurs de la santé, de l’éducation et de l’administration publique, des fichiers ou des systèmes entiers sont cryptés par les cybercriminels « de manière à ce que les données ne soient plus accessibles », a expliqué Benjamin Krause, procureur allemand chargé de la lutte contre la cybercriminalité.
Les cybercriminels exigent alors des rançons pour rendre ces données à nouveau utilisables, des attaques pouvant menacer « l’existence des entreprises », a-t-il poursuivi lors d’une conférence de presse.
Ces malfaiteurs ont recours aux services criminels d’autres groupes spécialisés dans l’infection initiale et peuvent ensuite charger des rançongiciels sur ces systèmes, les « droppers », a-t-il détaillé.
SystemBC facilitait par exemple la communication anonyme entre un système infecté et des serveurs de commande et de contrôle, a précisé Europol.
Pikabot permettait le déploiement de rançongiciels, la prise de contrôle d’ordinateurs à distance et le vol de données.
Trickbot, a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux Etats-Unis pendant la pandémie de Covid-19.
Avant les Jeux olympiques
Les enquêteurs français ont identifié l’administrateur de « SystemBC », cartographié les infrastructures liées au « dropper », et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué la procureure de la République de Paris, Laure Beccuau, dans un communiqué.
L’administrateur de Pikabot a aussi été identifié par les autorités françaises, qui ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé Mme Beccuau.
Les enquêteurs français ont également identifié l’un des acteurs principaux de « Bumblebee », procédé à son audition en Arménie, ainsi qu’à des opérations de perquisition.
« Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, cet été, a déclaré à l’AFP, Nicolas Guidoux, le chef de l’Office anti-cybercriminalité de la police judiciaire (Ofac), qui l’a coordonnée côté français.
« C’est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens », avant cet évènement mondial, où les autorités craignent de nombreuses cyberattaques, a-t-il relevé.
Ce n’est qu’après l’analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a-t-il précisé.
L’opération « Endgame » se poursuit et d’autres arrestations sont attendues, a précisé Europol.