C'est «la plus grande opération jamais réalisée» contre des logiciels malveillants jouant un rôle majeur dans le déploiement de rançongiciels, a annoncé jeudi Europol. Lors de cette opération, plus de 100 serveurs mis hors ligne et quatre personnes ont été arrêtées.
Baptisée «Endgame», cette opération internationale a eu «un impact mondial sur l'écosystème des 'droppers'», a déclaré Europol, désignant un type de logiciel utilisé pour insérer d'autres maliciels dans un système cible.
Outre les quatre interpellations, effectuées en Arménie et Ukraine, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d'Europe.
Ce coup de filet, coordonné entre les 27 et 29 mai depuis le siège de l'agence européenne de police à La Haye, a donné lieu à près d'une vingtaine de perquisitions en Arménie, Ukraine, ainsi qu'au Portugal et Pays-Bas.
Plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada.
Ce sont principalement des entreprises, autorités et institutions nationales qui ont été victimes des «systèmes malveillants» démantelés, selon l'agence judiciaire européenne, Eurojust. Elles ont, selon la police néerlandaise, subi des dommages s'élevant à des «centaines de millions d'euros».
«Des millions de particuliers ont également été victimes parce que leurs systèmes ont été infectés, ce qui les a intégrés» à ces logiciels malveillants, a précisé la police néerlandaise dans un communiqué.
Au moins 69 millions d'euros reçus en crypto-monnaie
Selon l'enquête, ouverte en 2022, l'un des principaux suspects a gagné au moins 69 millions d'euros en crypto-monnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a détaillé Eurojust.
Les autorités ont visé en premier lieu les groupements à l'origine des six familles de logiciels malveillants: IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot.
Ces «droppers» sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l'Office fédéral de police criminelle allemand et le parquet de Francfort.
Les droppers «permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles», a expliqué Europol. «Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en oeuvre des logiciels nuisibles sur les systèmes concernés», a ajouté l'agence.
«Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d'infection», a-t-elle précisé.
Ils sont généralement installés via des mails contenant des liens infectés ou des pièces jointes Word et PDF pour accéder aux données personnelles et/ou aux comptes bancaires des utilisateurs d'ordinateurs, a expliqué Eurojust.
«C'est important de limiter leurs moyens des infrastructures attaquantes»
Les enquêteurs français ont identifié l'administrateur de «SystemBC», cartographié les infrastructures liées au «dropper», et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué la procureure de la République de Paris, Laure Beccuau, dans un communiqué.
L'administrateur de Pikabot a aussi été identifié par les autorités françaises, qui ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé Mme Beccuau.
Les enquêteurs français ont également identifié l'un des acteurs principaux de «Bumblebee», procédé à son audition en Arménie, ainsi qu'à des opérations de perquisition. «Trickbot», a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux Etats-Unis pendant la pandémie de Covid-19.
«Cette opération, on voulait la faire avant les Jeux olympiques» de Paris, cet été, a déclaré à l'AFP, Nicolas Guidoux, le chef de l'Office anti-cybercriminalité de la police judiciaire (Ofac), qui a coordonné l'opération côté français.
«C'est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens», avant cet évènement mondial, où les autorités craignent de nombreuses cyberattaques, a-t-il relevé.
Ce n'est qu'après l'analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a-t-il précisé. L'opération «Endgame» se poursuit et d'autres arrestations sont attendues, a précisé Europol.
(ATS)