Dans le cadre d'une collaboration des autorités policières et judiciaires de sept pays différents, Europol et Eurojust annoncent le démantèlement d'un groupe cybercriminel opérant depuis l'Ukraine. Il serait derrière d'importantes attaques par ransomware à travers le monde.
Ciblant de grandes entreprises, les cyberattaques auraient touché plus de 1 800 victimes dans 71 pays. Le chiffrement de plus de 250 serveurs appartenant à de grands comptes serait à l'origine de pertes s'élevant à plusieurs centaines de millions d'euros.
Parmi les rançongiciels déployés lors des attaques, des noms comme LockerGoga, MegaCortex, HIVE et Dharma sont cités. Le déploiement pouvait n'intervenir que plusieurs mois après la compromission des systèmes.
Plusieurs rôles au sein du groupe
Afin de s'introduire dans les réseaux des victimes, Europol évoque des attaques par force brute, des injections SQL et l'envoi d'e-mails avec des pièces jointes malveillantes dans le but de dérober des identifiants de connexion.
Une fois à l'intérieur des réseaux, les attaquants restaient discrets et obtenaient des accès supplémentaires grâce à des outils tels que le malware TrickBot, Cobalt Strike et PowerShell Empire. L'objectif était de compromettre autant de systèmes que possible, avant le déclenchement des attaques par ransomware.
Après le chiffrement de données, une note de rançon était présentée aux victimes pour obtenir des clés de déchiffrement en échange d'un paiement en bitcoins.
En marge du contexte de la guerre contre la Russie
Âgé de 32 ans, le responsable présumé du groupe cybercriminel a été arrêté en Ukraine, ainsi que quatre autres complices considérés comme les plus actifs. Le 21 novembre, une trentaine de perquisitions ont été menées dans les zones des villes de Kiev, Rivne, Tcherkassy et Vinnytsia.
L'opération des autorités découle des arrestations en 2021 d'une douzaine de suspects faisant partie d'une même groupe de ransomware. Ils avaient été interpellés en Suisse et en Ukraine. Initialement, une enquête avait été lancée en 2019 par les autorités françaises.
Vidéo des nouvelles arrestations (police ukrainienne)
Avec les partenaires du projet No More Ransom et Bitdefender, les analyses effectuées sur le matériel saisi pendant l'enquête ont en outre permis aux autorités suisses de développer des outils de déchiffrement pour les variantes des ransomwares LockerGoga et MegaCortex.
