Les hackers derrière le ransomware DoppelPaymer sont dans le collimateur d’Europol. Une opération coup de poing, menée en Allemagne et en Ukraine, a permis de mettre la main sur du matériel appartenant aux pirates.
Une vaste opération policière a été menée contre un gang de cybercriminels qui s’est tour à tour fait appeler Irdrik Spider, Double Spider ou encore Grief. Le groupe est surtout connu pour s’être servi du ransomware DoppelPaymer pour rançonner ses victimes, entre 2019 et 2021.
Arrestations et perquisitions
L’opération a eu lieu le 28 février dernier, en Allemagne et en Ukraine, révèle Europol dans son communiqué. Au moment du raid, les pirates étaient inactifs depuis près de deux ans. En coopération avec la police régionale allemande et la police nationale ukrainienne, Europol a procédé à l’arrestation de deux pirates en Allemagne. Interrogée par The Verge, Daniela Dässel, porte-parole de la police allemande, précise que les suspects ont été libérés après avoir été interrogés.
En parallèle, des forces de l’ordre ont perquisitionné deux bases des pirates en Ukraine. Lors de ces multiples opérations, la police a saisi du matériel informatique. Celui-ci est minutieusement analysé par les équipes médico-légales allemandes, avec l’aide de trois experts dépêchés par Europol, afin de déterminer le rôle exact des suspects dans les attaques.
Tandis qu’un ressortissant ukrainien est interrogé par la police, les autorités sont toujours à la recherche de trois Russes soupçonnés d’avoir fait partie du gang. Des mandats d’arrêt ont été émis, bien que la police russe n’ait pas l’intention de coopérer. L’un des individus est également recherché par le FBI (Federal Bureau of Investigation), qui a joint ses forces à celles d’Europol. La police néerlandaise est aussi impliquée dans l’enquête.
À lire aussi : le FBI a piraté les hackers derrière l’attaque d’Altice
Plus de 600 victimes dans le monde
D’après Europol, le gang a utilisé le ransomware DoppelPaymer pour extorquer de l’argent à 37 victimes en Allemagne. Parmi les cibles des pirates, on trouve l’hôpital universitaire de Düsseldorf, piraté en 2020. L’attaque a coûté la vie à un septuagénaire, qui n’a pas pu être opéré dans les temps à cause des dysfonctionnements causés par les hackers.
Dans le monde, DoppelPaymer aurait fait plus de 600 victimes. Citons notamment la National Rifle Association américaine, rançonnée en 2021, ou encore Foxconn, le groupe taïwanais qui fabrique notamment les iPhone d’Apple, paralysé par le rançon-logiciel en fin 2020.
Le mode opératoire de DoppelPaymer ressemble à celui de n’importe quel ransomware. Une fois installé sur un ordinateur, le malware chiffre tous les fichiers stockés sur le disque dur. Il affiche alors un message avertissant les victimes de l’attaque. Pour récupérer les données, la cible doit s’acquitter d’une rançon en cryptomonnaies. En cas de refus, les fichiers sont détruits ou publiés sur la toile. Grâce à cette méthode, le gang aurait perçu plus de 40 millions de dollars de rançon en provenance des États-Unis en deux ans.
Des attaques facilitées par Emotet
Les experts d’Europol estiment que le code de DoppelPaymer est largement basé sur celui de BitPaymer, un ransomware classé dans la famille des malwares Dridex. Apparu en juillet 2017, il a été massivement utilisé pour pirater des hôpitaux, notamment en Écosse.
Pour déployer le ransomware sur les ordinateurs de leurs cibles, les cybercriminels s’appuyaient sur Emotet, un cheval de Troie né en 2014 et devenu un botnet en 2017. Grâce à ce maliciel, transformé en plate-forme multiservice par ses concepteurs, les pirates pouvaient par exemple s’emparer de comptes de messagerie. À partir de là, le gang déployait des « e-mails d’hameçonnage et de spam avec des documents joints contenant du code malveillant ». Pour contourner les systèmes de sécurité des machines visées, les hackers se sont servis de Process Hacker, un logiciel gratuit capable d’organiser le lancement de processus sur un PC.
Considéré comme « le maliciel le plus dangereux au monde » par Europol, Emotet a été finalement démantelé en 2021. La police fédérale allemande a été contrainte de désinstaller le botnet sur plus de 1,6 million d’ordinateurs, infectés à leur insu, pour en venir à bout.
Source :
Europol