Il ne fallait pas croire que l’opération Endgame était finie. Près d’un an après le lancement de cette manœuvre policière internationale visant cinq programmes malveillants clés pour les cybercriminels, l’agence européenne de police Europol vient d’annoncer l’ouverture « d’une saison 2 » après avoir réussi à cibler des clients de Smokeloader.
Comme le rappelait le Cert-FR de l’Anssi, ce code malveillant modulaire, actif depuis 2011, permet d’effectuer « des actions de reconnaissance sur la machine de la victime et y installer des codes ou accès persistants ». Les cibles étaient infectées lors de campagne de spams ou de hameçonnage.
La chute de Superstar
Plus précisément, Europol signale avoir réussi à identifier les clients du botnet payant Smokeloader exploité par « Superstar ». Ce dernier vendait des accès à des machines compromises. Ouvrant ainsi la voie à l’installation de programmes d’enregistrement de frappe de clavier.
Mais aussi à des rançongiciels ou encore des programmes destinés à miner des crypto-monnaies.
« Les clients des fournisseurs de services de cybercriminalité apprennent aujourd’hui une douloureuse leçon, ironise Europol. Leurs données personnelles n’ont pas été protégées par ces individus qui ont involontairement peint des cibles sur leur dos. » L’agence précise également que plusieurs suspects « ont choisi de coopérer ».
Des données sensibles
La lutte contre les services malveillants destinés aux cybercriminels est l’une des priorités d’Europol. Comme le démantèlement de forums criminels, la fermeture de ce genre de plateformes permet en effet d’obtenir par ricochet de nouvelles informations pour d’autres enquêtes.
Un type d’information qui peut également fuiter. La société Prodaft vient ainsi récemment de signaler une fuite de données d’un bulletproof hoster. Ce terme renvoie aux opérateurs de service qui ne répondent pas aux demandes des forces de l’ordre.
« Cette fuite offre des informations rares et précieuses sur l’infrastructure cybercriminelle », remarque cette entreprise spécialisée dans le renseignement sur les cybermenaces. Et pour cause: des groupes de rançongiciels utilisaient vraisemblablement l’outil. De quoi donner idées pour une saison 3 « d’Endgame »…