" Il s'agit de la plus grande opération jamais menée contre les botnets qui jouent un rôle majeur dans le déploiement de ransomwares. " Baptisée Endgame, cette opération internationale a été coordonnée par l'agence européenne de police Europol.
Entre le 27 et le 29 mai 2024, des perquisitions ont principalement eu lieu en Ukraine, ainsi qu'au Portugal, aux Pays-Bas et en Arménie. Une centaine de serveurs ont été mis hors ligne dans une dizaine de pays* et plus de 2 000 domaines sont passés sous le contrôle des autorités.
En Arménie et en Ukraine, quatre cybercriminels de premier plan ont été arrêtés. Huit autres individus en lien avec les mêmes activités criminelles, et recherchés par l'Allemagne, ont été ajoutés à la liste des personnes les plus recherchées d'Europe.
Des droppers pour des ransomwares
Alors qu'elle se poursuit, l'opération Endgame a permis de démanteler des botnets regroupant des millions de systèmes informatiques infectés. Elle a ciblé l'écosystème des droppers avec des noms tels que Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC et Trickbot.
Exploités lors de la première phase d'une attaque, ces chevaux de Troie de type injecteur sont conçus pour rapatrier et installer d'autres malwares sur des systèmes pris pour cible. " Les droppers eux-mêmes ne causent généralement pas de dommages directs, mais ils sont essentiels pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés ", écrit Europol.
Parmi les noms cités, certains ont fait leurs armes en tant que chevaux de Troie bancaires avant d'évoluer. Après infection et l'établissement d'une connexion, le rapatriement de charges utiles malveillantes comprend des ransomwares évoqués par Europol, même si ce n'est qu'un exemple.
Avant les JO de Paris
L'un des principaux suspects aurait gagné au moins 69 millions d'euros en cryptomonnaie, en louant l'infrastructure pour le déploiement de ransomwares. " Les transactions du suspect font l'objet d'une surveillance constante et l'autorisation légale de saisir les actifs lors d'actions futures a déjà été obtenue. "
À souligner que l'opération Endgame a mis à contribution plusieurs acteurs de la cybersécurité, dont Bitdefender, Fox-IT, HaveIBeenPwned, Proofpoint, Sekoia, Shadowserver, Spamhaus et Zscaler.
La France est parmi les pays initiateurs. Ce n'est sans doute pas un hasard compte tenu de la proximité des Jeux Olympiques de Paris 2024 qui est un événement d'ampleur propice à des cyberattaques et arnaques. À défaut d'un démantèlement pérenne, une déstabilisation de réseaux cybercriminels est toujours bonne à prendre.
* Allemagne, Bulgarie, Canada, États-Unis, Lituanie, Pays-Bas, Roumanie, Royaume-Uni, Suisse et Ukraine.
