Baptisée « Endgame », cette opération internationale a eu « un impact mondial sur l’écosystème des +droppers+ », a déclaré Europol, désignant un type de logiciel utilisé pour insérer d’autres maliciels dans un système cible.
Outre les quatre interpellations, effectuées en Arménie et Ukraine, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d’Europe.
Ce coup de filet, coordonné entre les 27 et 29 mai depuis le siège de l’agence européenne de police à La Haye, a donné lieu à près d’une vingtaine de perquisitions en Arménie, Ukraine, ainsi qu’au Portugal et Pays-Bas.
Plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada.
Ce sont principalement des entreprises, autorités et institutions nationales qui ont été victimes des « systèmes malveillants » démantelés, selon l’agence judiciaire européenne, Eurojust.
Elles ont, selon la police néerlandaise, subi des dommages s’élevant à des « centaines de millions d’euros ».
« Des millions de particuliers ont également été victimes parce que leurs systèmes ont été infectés, ce qui les a intégrés » à ces logiciels malveillants, a précisé la police néerlandaise dans un communiqué.
Selon l’enquête, ouverte en 2022, l’un des principaux suspects a gagné au moins 69 millions d’euros en crypto-monnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a détaillé Eurojust.
Les autorités ont visé en premier lieu les groupements à l’origine des six familles de logiciels malveillants: IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot.
Ces « droppers » sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l’Office fédéral de police criminelle allemand et le parquet de Francfort.
« Principale menace »
Les droppers « permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles », a expliqué Europol.
« Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés », a ajouté l’agence.
« Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d’infection », a-t-elle précisé.
Ils sont généralement installés via des mails contenant des liens infectés ou des pièces jointes Word et PDF pour accéder aux données personnelles et/ou aux comptes bancaires des utilisateurs d’ordinateurs, a expliqué Eurojust.
Les enquêteurs français ont identifié l’administrateur de « SystemBC », cartographié les infrastructures liées au « dropper », et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué la procureure de la République de Paris, Laure Beccuau, dans un communiqué.
L’administrateur de Pikabot a aussi été identifié par les autorités françaises, qui ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé Mme Beccuau.
Les enquêteurs français ont également identifié l’un des acteurs principaux de « Bumblebee », procédé à son audition en Arménie, ainsi qu’à des opérations de perquisition.
« Trickbot », a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux Etats-Unis pendant la pandémie de Covid-19.
« Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, cet été, a déclaré à l’AFP, Nicolas Guidoux, le chef de l’Office anti-cybercriminalité de la police judiciaire (Ofac), qui a coordonné l’opération côté français.
« C’est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens », avant cet évènement mondial, où les autorités craignent de nombreuses cyberattaques, a-t-il relevé.
Ce n’est qu’après l’analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a-t-il précisé.
L’opération « Endgame » se poursuit et d’autres arrestations sont attendues, a précisé Europol.
