Belle prise pour les polices allemandes et ukrainiennes ! L’agence de police Europol vient d’annoncer l’arrestation de deux suspects de premier rang en Allemagne et en Ukraine, une opération judiciaire également soutenue par le FBI américain et la police néerlandaise. Ces deux hommes, à l’identité non mentionnée, sont en effet soupçonnés d’avoir joué un rôle de premier plan dans le rançongiciel DoppelPaymer.
L’agence européenne a également signalé des perquisitions à Kyiv et à Kharkov, tandis qu’une coordination internationale a été mise en place pour suivre l’enquête policière. “Les enquêteurs analysent actuellement le matériel saisi”, souligne Europol, qui précise que l’analyse des données pourrait ouvrir de nouveaux axes d’enquête.
Des victimes en France
Repéré pour la première fois à l’été 2019, DoppelPaymer a été un rançongiciel très actif jusqu’en 2021. Ses opérateurs pratiquaient la double extorsion, demandant des rançons en contrepartie d’un déchiffrement des données ou pour éviter la divulgation publique de données volées. Ils avaient ainsi réussi à extorquer avec ce logiciel malveillant au moins 40 millions d’euros de rançon en deux ans d’activité aux Etats-Unis, tandis qu’au moins 37 entreprises auraient été victimes en Allemagne.
Si la France n’est pas citée comme partie prenante de l’enquête en cours, plusieurs victimes sont à signaler dans l’Hexagone. L’Agence pour la formation professionnelle des adultes avait ainsi été visée en mars 2020 par DoppelPaymer. L’attaque avait pu être en partie contenue, avec le déploiement du rançongiciel sur seulement une fraction du parc informatique. Le gang avait également visé les villes de Mitry-Mory et de Charleville-Mézières.
Famille de rançongiciels
Mais au-delà des cibles visées par DoppelPaymer, les investigations en cours concernent plus largement toute une famille de rançongiciels mis au point par le gang Doppel Spider, également appelé Indrik Spider, explique dans son communiqué la police allemande de Rhénanie-du-Nord-Westphalie, une région de l’ouest qui jouxte la Belgique et les Pays-Bas. Ce groupe criminel est en effet accusé d’avoir fait plus de 600 victimes dans le monde dans des attaques par rançongiciel.
Ces opérations criminelles auraient commencé en mai 2017, avec une intrusion aux dépens du National Health Service du Royaume-Uni. Ainsi, outre DoppelPaymer, ces cybercriminels auraient été à la manœuvre avec les rançongiciels BitPaymer, PayOrGrief et Entropy, signalent les policiers allemands. Au-delà des deux personnes interpellées, la police allemande a d’ailleurs signalé l’émission de mandats d’arrêt visant trois autres suspects, des Russes d’une trentaine et d’une quarantaine d’années pour l’instant hors de portée de la justice allemande.
Evil Corp
Irina Zemlianikina est ainsi soupçonnée d’avoir administré les sites de fuites de données et les infrastructures de chat utilisées pour correspondre avec les victimes. Igor Garshin est poursuivi pour son implication dans les piratages informatiques et le déploiement de rançongiciels. Quant au troisième, Igor Olegovich Turashev, il est déjà recherché depuis quatre ans par le FBI.
Celui qui est considéré par la police allemande comme l’administrateur des programmes malveillants utilisés par les attaques est déjà soupçonné d’être l’un des membres de premier plan d’Evil Corp. Ce groupe de pirates est soupçonné par les américains d’avoir volé plus de cent millions de dollars avec leur logiciel malveillant Dridex, un malware dont la généalogie avait été décortiquée par l’Anssi. Un CV éloquent qui donne la mesure de l’opération policière en cours.
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "//connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));