Image légendée
Quatre personnes ont été arrêtées et plus de 100 serveurs mis hors ligne lors d'une opération contre des logiciels malveillants © AFP/Archives Jean-Christophe VERHAEGEN

Quatre personnes ont été arrêtées et plus de 100 serveurs mis hors ligne lors de « la plus grande opération jamais réalisée » contre des logiciels malveillants jouant un rôle majeur dans le déploiement de rançongiciels, a annoncé jeudi Europol.

Baptisée « Endgame », cette opération internationale a eu « un impact mondial sur l’écosystème des +droppers+ », a déclaré Europol, désignant un type de logiciel utilisé pour insérer d’autres maliciels dans un système cible.

Outre les quatre interpellations, en Arménie et Ukraine, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d’Europe.

Ce coup de filet, coordonné entre les 27 et 29 mai depuis le siège de l’agence européenne de police à La Haye, a aussi donné lieu à près d’une vingtaine de perquisitions en Arménie, Ukraine, ainsi qu’au Portugal et Pays-Bas. 

Plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada. 

Ce sont principalement des entreprises, autorités et institutions nationales qui ont été victimes des « systèmes malveillants » démantelés, selon l’agence judiciaire européenne, Eurojust. 

La police néerlandaise a estimé les dommages subis à des « centaines de millions d’euros »

« Des millions de particuliers ont également été victimes », a-t-elle ajouté. 

Selon l’enquête, ouverte en 2022, l’un des principaux suspects a gagné au moins 69 millions d’euros en cryptomonnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a détaillé Eurojust. 

Les autorités ont visé en premier lieu les groupements à l’origine des six familles de logiciels malveillants : IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot. 

Ces « droppers » sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l’Office fédéral de police criminelle allemand et le parquet de Francfort.

Principale menace

Les droppers « permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles », a expliqué Europol. 

« Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés », a ajouté l’agence. 

« Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d’infection », a-t-elle précisé.

Dans les secteurs de la santé, de l’éducation et de l’administration publique, des fichiers ou des systèmes entiers sont cryptés par les cybercriminels « de manière à ce que les données ne soient plus accessibles », a expliqué Benjamin Krause, procureur allemand chargé de la lutte contre la cybercriminalité.

Les cybercriminels exigent alors des rançons pour rendre ces données à nouveau utilisables, des attaques pouvant menacer « l’existence des entreprises », a-t-il poursuivi lors d’une conférence de presse. 

Ces malfaiteurs ont recours aux services criminels d’autres groupes spécialisés dans l’infection initiale et peuvent ensuite charger des rançongiciels sur ces systèmes, les « droppers », a-t-il détaillé. 

SystemBC facilitait par exemple la communication anonyme entre un système infecté et des serveurs de commande et de contrôle, a précisé Europol. 

Pikabot permettait le déploiement de rançongiciels, la prise de contrôle d’ordinateurs à distance et le vol de données.

Trickbot, a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux Etats-Unis pendant la pandémie de Covid-19.

Avant les Jeux olympiques

Les enquêteurs français ont identifié l’administrateur de « SystemBC », cartographié les infrastructures liées au « dropper », et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué la procureure de la République de Paris, Laure Beccuau, dans un communiqué. 

L’administrateur de Pikabot a aussi été identifié par les autorités françaises, qui ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé Mme Beccuau. 

Les enquêteurs français ont également identifié l’un des acteurs principaux de « Bumblebee », procédé à son audition en Arménie, ainsi qu’à des opérations de perquisition. 

« Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, cet été, a déclaré à l’AFP, Nicolas Guidoux, le chef de l’Office anti-cybercriminalité de la police judiciaire (Ofac), qui l’a coordonnée côté français. 

« C’est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens », avant cet évènement mondial, où les autorités craignent de nombreuses cyberattaques, a-t-il relevé.  

Ce n’est qu’après l’analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a-t-il précisé.

L’opération « Endgame » se poursuit et d’autres arrestations sont attendues, a précisé Europol.