Sale temps pour les cybercriminels. Après Lumma, cet infostealer, un programme malveillant voleur de mots de passe, visé par une opération internationale, des polices européennes, dont la France, du Canada et des États-Unis viennent de remettre le couvert en s’attaquant aux outils les plus précieux des pirates informatiques.
Il s’agit de la suite de l’opération Endgame, ce coup de filet policier international lancé il y a un an contre les droppers Bumblebee, Pikabot, Smokeloader, SystemBC, IcedID et Trickbot. De manière gourmande, les policiers avaient teasé il y a quelques semaines à propos d’une probable suite.
Et effectivement, c’est assez gratiné. Environ 300 serveurs malveillants ont ainsi été mis hors de service. 650 domaines ont été neutralisés. Enfin, 3,5 millions d’euros en cryptomonnaie ont été saisis, portant le total des sommes saisies à plus de 21 millions d’euros, précise l’agence européenne Europol.
Coup d’arrêt
Comme l’an dernier, il s’agit ici de couper l’herbe sous le pied des pirates en s’attaquant à des programmes ouvrant des accès. « L’objectif, c’est de mettre un coup d’arrêt à ces logiciels malveillants et leurs variants qui permettent ensuite d’autres attaques », comme celles par rançongiciel, précise à ZDNET.fr Julie Benoit, la cheffe de pôle des enquêtes cyber de l’Office anti-cybercriminalité.
Les polices ont ainsi visé les programmes Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie. Les Français ont plus particulièrement travaillé sur Lactrodectus et Warmcookie, dont les serveurs de contrôle et de commande étaient en France. L’Anssi a également apporté son aide pour l’identification et la notification des victimes.
En tout, vingt mandats d’arrêt européens ont été lancés en Europe, tandis que la justice américaine a dévoilé dix-sept actes d’accusation. Soit un total donc de 37 personnes dans le viseur des justices européennes et nord-américaines. Des suspects venant de l’est européen, en témoigne cette galerie de portraits aux noms à consonances slaves publiée par les policiers allemands du BKA.
24 millions confisqués
La justice américaine a notamment dévoilé les poursuites en cours contre Rustam Rafailevich Gallyamov. Ce presque quinquagénaire russe vivant à Moscou est accusé d’être le patron de Qakbot, un malware utilisé par des gangs de cybercriminels tristement célèbres. Il aurait développé ce botnet à partir de 2008, avant de revendre des accès d’ordinateurs compromis à des gangs de rançongiciel à partir de 2019.
Une activité extrêmement lucrative au vue des saisies. Faute de pouvoir l’arrêter, la justice américaine vient de le frapper au portefeuille. Elle a confisqué l’équivalent de 24 millions de dollars d’actifs virtuels, 170 bitcoins et 4 millions de dollars en USDT et USDC, deux ans après le démantèlement de Qakbot à l’été 2023.
Cette opération avait impliqué les policiers et gendarmes français, six serveurs ayant été identifiés alors en France. Sans que cela n’incite les cybercriminels derrière le programme malveillant à arrêter leurs activités. Ils se sont reconvertis, accuse en effet la justice américaine, dans le « Spam bomb ». Ces bombardements de messages ou de notifications visent à tromper des utilisateurs pour qu’ils donnent leurs accès de connexion.