Les États-Unis viennent de mettre à terre un redoutable malware spécialisé dans le vol de données, Danabot. Développé en Russie, le virus était impliqué dans de nombreuses opérations d’espionnage. Avant sa chute, Danabot avait infecté plus de 300 000 ordinateurs à travers le monde et causé 50 millions de dollars de dégâts.
Les États-Unis viennent de détruire l’infrastructure en ligne de Danabot, un redoutable malware programmé pour voler les données de ses victimes. Avant l’effondrement de son infrastructure, le virus était parvenu à pirater 300 000 ordinateurs dans le monde. Il a causé 50 millions de dommages depuis sa création.
À lire aussi : 184 millions de mots de passe piratés – des identifiants Apple, Facebook, Google, et Microsoft ont été exposés
La suite de l’opération Endgame
Le démantèlement de Danabot découle directement de l’opération Engame, initiée par Europol en mai dernier. Présentée comme « la plus grande opération jamais réalisée », elle a déjà permis de faire plonger des virus dangereux et répandus, comme IcedID, SystemBC, Pikabot, ou encore Smokeloader. Plus récemment, l’opération s’est aussi soldée par la destruction de six autres logiciels malveillants, à savoir Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot et Warmcookie. Pour mettre à terre Danabot, la justice américaine s’est associée à plusieurs géants de la technologie et de la cybersécurité, comme Google, Amazon, Intel, ESET, Crowdstrike et Proofpoint.
Dans la foulée de la saisie de l’infrastructure, le département de la justice des États-Unis a inculpé 16 personnes accusées d’avoir développé et déployé DanaBot. Le virus aurait été mis au point par une organisation cybercriminelle basée en Russie. Toutes les personnes inculpées restent libres. Celles-ci se trouvent en effet sur le sol russe. Les pirates ne risquent pas l’extradition vers les États-Unis. Moscou fait en effet preuve de complaisance envers les cybercriminels. Pour Josh Hopkins, chercheur chez Cymru impliqué dans l’enquête menée par Washington, les pirates de Danabot « agissent avec la bénédiction du gouvernement, et probablement sous l’œil attentif des services de renseignement ».
Selon Selena Larson, chercheuse en cybersécurité chez Proofpoint, il est possible que les assauts des forces de l’ordre finissent par convaincre les pirates d’abandonner le milieu du crime. Les opérations de démantèlement imposent « des coûts aux acteurs de la menace en les obligeant à modifier leurs tactiques, provoquent une méfiance dans l’écosystème criminel et peuvent potentiellement amener les criminels à envisager de trouver une carrière différente ».
De quoi était capable Danabot ?
Apparu en 2018, Danabot est spécialisé dans le vol de données. Une fois que le système a été affecté, il est capable d’orchestrer le vol de données sensibles, dont des identifiants ou des mots de passe, de distribuer d’autres virus et de mener une fraude financière. Le virus est en effet capable de dérober des coordonnées bancaires ou des clés privées liées à des portefeuilles crypto. Enfin, le malware était en mesure de filmer les utilisateurs de l’ordinateur infecté et d’espionner tous les mots tapés sur le clavier.
Selon les experts de CrowdStrike, DanaBot visait d’abord les ordinateurs en Ukraine, en Pologne, en Italie, en Allemagne, en Autriche et en Australie. Rapidement, le virus s’est tourné vers des cibles situées aux États-Unis et au Canada, comme des institutions financières.
Selon la justice américaine, tous les ordinateurs piratés étaient incorporés à un gigantesque botnet, c’est-à-dire un réseau d’appareils infectés. Danabot était proposé dans le cadre d’un modèle de « Malware-as-a-Service » (MaaS). Par le biais d’un abonnement, n’importe quel pirate pouvait se servir de Danabot pour faciliter ses activités. L’abonnement coutait plusieurs milliers de dollars par mois. Danabot a notamment été exploité par les cybercriminels spécialisés dans les attaques par ransomware. Pour se propager, le virus se cachait dans des mails de phishing avec des pièces jointes malveillantes ou des liens piégés.
En fait, il existait deux versions de Danabot. Une variante disponible à la location, à destination des pirates qui veulent gagner de l’argent, et une édition taillée pour l’espionnage, réservée à des besoins précis. Celle-ci a servi à mener des opérations d’espionnage à l’encontre « d’entités militaires, diplomatiques et gouvernementales sensibles », souligne le département de la justice des États-Unis.
La chute de Danabot est un nouveau coup dur pour l’écosystème criminel, déjà marqué par l’effondrement d’autres virus massivement utilisés par hackers. Il y a quelques jours, la justice américaine, Europol et le Centre japonais de contrôle de la cybercriminalité a par exemple mis un terme à Lumma Stealer, un autre virus spécialisé dans l’aspiration de données.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Justice.gov