Fin de partie pour cinq « droppers »? Très prisés par les cybercriminels, cinq programmes malveillants viennent d’être visés par une opération policière internationale dénommée Endgame. Les autorités allemandes, américaines, anglaises, danoises, françaises et néerlandaises ont en effet déclenché un coup de filet d’ampleur contre Bumblebee, Pikabot, Smokeloader, SystemBC, IcedID et Trickbot.
Cette action s’est traduite par la mise hors ligne de plus de cent serveurs. La moitié des serveurs faisaient partie de l’infrastructure de SystemBC, cartographiée par les policiers de l’office anti-cybercriminalité (Ofac). Quatre suspects ont été arrêtés. En outre, dix mandats d’arrêts internationaux ont été émis, tandis que des perquisitions ont été lancées dans quatre pays.
Il s’agit de « la plus grande opération jamais réalisée contre des logiciels malveillants », assure même la police nationale dans son communiqué. Comme le rappelle le parquet de Paris, les cinq logiciels visés servent de point de départ pour des attaques plus complexes, en vendant des accès piratés. A titre d’illustration, cela facilite le déploiement d’un rançongiciel ou le vol de données personnelles.
Logiciels clés pour les cybercriminels
Par exemple, Bumblebee était considéré il y a deux ans comme un logiciel à l’épicentre de la cybercriminalité. Il peut être propagé via un fichier ISO piégé. Ce chargeur – loader en anglais – fournit alors une porte dérobée. Il ne reste alors qu’à exécuter Cobalt Strike pour prendre le contrôle du système.
Les experts en sécurité informatique connaissent également de longue date Trickbot. Ce cheval de Troie modulaire est actif depuis 2016. Il a déjà été visé par plusieurs opérations de démantèlement. Et ses liens avec le gang de rançongiciel Conti n’étaient pas passés inaperçus.
C’est tout l’intérêt de l’opération Endgame en cours. Au-delà des logiciels malveillants visés, elle va déstabiliser les gangs de cybercriminels qui recourent à leurs services. La police estime ainsi que plus de treize groupes de rançongiciels, non nommés, sont concernés.
Trois des quatre arrestations d’Endgame suivies par la France
Concrètement, les autorités françaises, assistées de l’Anssi et de l’entreprise de renseignement sur les cybermenaces Sekoia, ont pu identifier l’administrateur du botnet Pikabot. Il a été interpellé chez lui en Ukraine par les policiers de la brigade de lutte contre la cybercriminalité (BL2C).
L’un des « acteurs principaux » de Bumblebee a quant à lui été auditionné en Arménie par les gendarmes du centre de lutte contre les criminalités numériques (C3N). Son rôle exact n’a pas été précisé.
Selon la police nationale, l’un des principaux suspects visé par les investigations aurait gagné plus de 69 millions d’euros en crypto-monnaies. Un magot qui n’a pas été saisi. Mais « ces avoirs sont désormais tracés », avertit la police.
L’enquête avait été ouverte en mai 2022 à la suite, visiblement, d’une attaque par rançongiciel. Les infractions visées sont en effet le piratage informatique, l’extorsion, le blanchiment et l’association de malfaiteurs.
Mais cette action policière s’inscrit également dans le prolongement des opérations récentes menées contre le botnet Emotet et le malware Qbot par la police nationale, précise le parquet. Reste maintenant à voir si les programmes malveillants visés resteront bien hors-jeu après l’opération Endgame ou s’ils arriveront à refaire malgré tout surface.