Dans l’opération internationale la plus importante jamais menée contre les logiciels malveillants, la police a interpellé quatre individus et mis hors service plus de 100 serveurs. L’annonce de cette opération, baptisée « Endgame », a été faite le 30 mai par Europol. Cette initiative a eu un effet significatif sur l’écosystème mondial des « droppers », un type de logiciel utilisé pour infiltrer d’autres malwares dans un système cible, selon Europol.
Les arrestations ont eu lieu en Arménie et en Ukraine, et huit autres personnes liées à ces crimes vont être ajoutées à la liste des fugitifs les plus recherchés en Europe. Cette opération a été coordonnée entre les 27 et 29 mai depuis le quartier général de l’agence de police européenne à La Haye, et a entraîné une série de perquisitions en Arménie, Ukraine, Portugal et Pays-Bas. Plus de 100 serveurs ont également été saisis dans divers pays européens, aux États-Unis et au Canada.
La menace principale identifiée par cette investigation, lancée en 2022, était les « droppers ». Selon Eurojust, l’agence judiciaire européenne, l’un des suspects clés aurait amassé au moins 69 millions d’euros en crypto-monnaie en louant une infrastructure criminelle pour des attaques de ransomware. L’enquête a principalement ciblé les groupes responsables de six types de logiciels malveillants : IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot.
Dans une déclaration commune de l’Office fédéral allemand de police criminelle et du parquet de Francfort, il a été indiqué que ces « droppers » sont liés à au moins 15 groupes de logiciels de rançon. Europol a expliqué que les droppers aident les criminels à éviter les mesures de sécurité et à mettre en place des programmes malveillants, sans causer de dommages directs. Cependant, ils jouent un rôle essentiel pour accéder et mettre en œuvre sur les systèmes concernés des logiciels malveillants, qui sont maintenant utilisés pour déployer des rançongiciels, constituant ainsi la principale menace dans la chaîne d’infection.
L’administrateur de « SystemBC » a été identifié par les enquêteurs français, qui ont également exposé les infrastructures liées au « dropper » et coordonné le démantèlement de dizaines de serveurs de commande, selon les mots de la procureure de la République de Paris, Laure Beccuau. Europol a précisé que SystemBC facilitait la communication anonyme entre un système infecté et des serveurs de commande et de contrôle.
L’administrateur de Pikabot, qui permet le déploiement de rançongiciels, le contrôle à distance des ordinateurs et le vol de données, a aussi été identifié par les autorités françaises, qui ont procédé à son arrestation et à une fouille de son domicile en Ukraine, avec le soutien des autorités ukrainiennes, a ajouté Mme Beccuau.
Un des principaux acteurs de « Bumblebee » a également été identifié par les enquêteurs français, qui ont mené son audition en Arménie, et effectué des opérations de perquisition.
« Bumblebee, » qui est diffusé surtout par des campagnes de hameçonnage ou des sites Internet compromis, a été développé pour faciliter le lancement et la réalisation d’autres attaques cybernétiques. Par exemple, « Trickbot » a été utilisé pour extorquer de l’argent à des hôpitaux et des centres de santé aux États-Unis durant la pandémie de Covid-19.
« L’idée était de mener cette opération avant les Jeux Olympiques de Paris cet été, » a déclaré Nicolas Guidoux, le directeur de l’Office anticybercriminalité de la police judiciaire (OFAC), qui a supervisé l’initiative en France. « Il est essentiel d’affaiblir les infrastructures qui lancent des attaques et de diminuer leurs capacités, » avant un évènement international où une vague de cyberattaques est redoutée par les autorités.
A terme, les autorités ne pourront déterminer le nombre de victimes qu’après avoir analysé les serveurs démantelés. Le nombre de victimes devrait atteindre plusieurs centaines de milliers. L’opération « Endgame » est toujours en cours et on s’attend à d’autres arrestations, selon Europol.
La contribution à la réutilisation de ce contenu est encouragée.