Ransomware CTB-Locker et Cerber : cinq arrestations en Roumanie

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Ransomware CTB-Locker et Cerber : cinq arrestations en Roumanie

Publié le 21 décembre 2017 à 12:30 par Jérôme G.

Lire sur mobile

Appartenant à un même groupe de cybercriminels, cinq individus ont été interpellés en Roumanie. Ils sont suspectés d'avoir utilisé CTB-Locker et Cerber dans des campagnes d'attaque par ransomware.

L'Office européen de police Europol a annoncé les arrestations de trois individus suspectés d'avoir infecté des ordinateurs en diffusant le ransomware CTB-Locker. Dans le même temps, et en lien avec une enquête aux États-Unis, deux autres individus ont été arrêtés pour la diffusion du ransomware Cerber.

Les cinq personnes appartiennent à un même groupe cybercriminel. Elles ont toutes été interpellées en Roumanie. Les suspects n'ont pas développé les malwares mais ont acquis le nécessaire pour lancer des campagnes d'infection.

Selon McAfee, dont les recherches ont aidé à appréhender les suspects, CTB-Locker était l'une des plus grandes familles de ransomware en 2016. En 2015, la France (le CERT-FR) avait notamment sonné l'alerte au sujet d'une campagne de phishing impliquant ce ransomware (en pièce jointe de messages).

Basé sur le code de CryptoLocker, CTB-Locker a été détecté pour la première fois en 2014. Il est considéré comme l'un des premiers ransomwares à avoir utilisé le réseau d'anonymisation Tor pour y dissimuler des serveurs de commande et contrôle.

CTB-Locker

Apparu en mars 2016, Cerber fonctionne sur le modèle d'un ransomware en tant que service, ce qui permet une utilisation par des cybercriminels n'ayant pas des compétences informatiques avancées. Il a en particulier touché les États-Unis. Avec les premières versions détectées, Cerber s'assurait avant infection que ses victimes ne résidaient pas dans un pays de l'Europe de l'Est.

D'après une étude présentée l'été dernier par des chercheurs de Google, Chainalysis, les universités UC San Diego et NYU Tandon School of Engineering, les victimes de ransomwares ont payé pour plus de 25 millions de dollars de rançons ces deux dernières années. Pour Cerber, l'étude avait avancé le paiement de 6,9 millions de dollars en bitcoins.

Europol publie une vidéo de l'opération baptisée Bakovia qui a été menée en Roumanie. Six domiciles (pour CTB-Locker) ont été perquisitionnés et du matériel a été saisi : disques durs, ordinateurs portables, stockage externe, plateformes de minage de cryptomonnaie, cartes SIM. Les suspects pour Cerber ont été arrêtés à l'aéroport de Bucarest.

Dans un communiqué, Europol recommande de ne jamais payer une rançon. " Vous ne récupérerez pas vos fichiers (ndlr : en tout cas pas forcément) et vous financerez des activités criminelles. " Face à la menace ransomware, la pratique des sauvegardes préventives de fichiers reste la principale parade.

Rappelons l'existence de l'initiative No More Ransom pour informer sur les ransomwares et proposer d'éventuelles solutions, dont des outils de déchiffrement avec des ransomwares connus.