En collaboration avec des acteurs de l'industrie des services financiers et le FBI, l'unité des crimes numériques de Microsoft a lancé un assaut à l'encontre de quelque 1 462 botnets Citadel. Une coupure simultanée de la communication entre ces réseaux d'ordinateurs zombies constitués de 5 millions d'ordinateurs infectés.

cyberattaque Grâce à une autorisation de justice, des données et preuves ont été saisies dont des serveurs de deux hébergeurs basés dans le New Jersey et en Pennsylvanie aux États-Unis. De son côté, le FBI a fourni des informations à d'autres autorités policières afin que des actions puissent être menées sur l'infrastructure du botnet hors des USA.

En raison de la taille et de la complexité des botnets, Microsoft ne s'attend toutefois pas à un démantèlement complet mais espère que les actions entreprises seront suffisantes pour " perturber de manière significative " les opérations menées sous l'égide de Citadel.

D'après la firme de Redmond qui a déposé une plainte contre X, le principal responsable de Citadel serait un individu connu sous le pseudonyme de Aquabox. Il vivrait en Europe de l'Est. À l'échelle internationale, une opération cherche par ailleurs à identifier 81 bergers de botnets qui ont aidé Aquabox.

Au cours des investigations, Microsoft a découvert que Citadel a bloqué l'accès à des sites légitimes d'antivirus pour les machines infectées, rendant dès lors son éradication plus complexe. Des cybercriminels ont également utilisés des clés produits frauduleuses pour des versions de Windows XP afin de permettre la propagation du malware.

Selon Reuters, les botnets Citadel ont permis de voler 500 millions de dollars sur des comptes bancaires au cours des 18 derniers mois. Parmi les établissements visés : American Express, Bank of America, Citigroup, Credit Suisse, PayPal, HSBC, JPMorgan Chase, Royal Bank of Canada, Wells Fargo.

Avec diverses capacités dont l'enregistrement de frappe ( keylogger ), Citadel est apparu après la publication du code source de ZeuS en 2011. Il en serait ainsi une variante qui a évolué rapidement. Dans son rapport de sécurité pour le premier trimestre 2013, McAfee parle d'un recyclage de Citadel pour dérober les informations personnelles de victimes ciblées au-delà des institutions financières.

" L'industrie doit s'attendre à voir de plus en plus de cas de logiciels malveillants bancaires utilisés pour des opérations de cyberespionnage au sein d'entreprises non financières et gouvernementales ", écrit la filiale d'Intel.

Microsoft propose des outils gratuits de suppression pour Citadel et autres.