L'infrastructure démantelée aurait permis d'infecter des millions de systèmes informatiques, et à l'un de ses responsables d'amasser près de 70 millions d'euros en crypto-monnaies. Quatre suspects ont été arrêtés, huit autres vont être rajoutés à la liste des personnes les plus recherchées d'Europe.
Europol annonce la saisie de plus de 2 000 noms de domaine, le démantèlement de plus de 100 serveurs ayant facilité des attaques par rançongiciels et autres logiciels malveillants, 16 perquisitions et l'arrestation de quatre cyberdélinquants (un en Arménie et trois en Ukraine), « dont 3 par les autorités françaises », précise le Parquet de Paris.
Huit fugitifs russes liés à ces activités criminelles, recherchés par l'Allemagne, ont en outre été ajoutés à la liste des personnes les plus recherchées (« Most Wanted ») d'Europe.
![](https://next.ink/wp-content/uploads/2024/06/EndGame8-1024x676.png)
L'opération, « initiée et dirigée par la France, l'Allemagne et les Pays-Bas » et qu'Europol qualifie de « la plus grande opération jamais menée » de ce type, fait suite au démantèlement réussi du système de logiciels malveillants Emotet en 2021, précise l'Unité de coopération judiciaire de l'Union européenne (Eurojust), et certains des suspects avaient d'ailleurs déjà participé à l'exploitation d'Emotet dans le passé.
Signe de l'importance de cette « Operation Endgame », Europol et ses partenaires y consacrent même un site web dédié, qui souligne que les réseaux de botnets démantelés « comprenaient des millions de systèmes informatiques infectés » :
« De nombreuses victimes n'étaient pas conscientes de l'infection de leur système. Les pertes financières que ces criminels ont causées aux entreprises et aux institutions gouvernementales sont estimées à des centaines de millions d'euros. »
Ces botnets sont associés à « au moins quinze groupements de rançongiciels », ont précisé l’Office fédéral de police criminelle allemand et le parquet de Francfort dans un communiqué conjoint cité par Le Monde.
« Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, a fait savoir Nicolas Guidoux, le chef de l’Office anticybercriminalité de la police judiciaire (OFAC), qui a coordonné l’opération côté français.
Les communiqués ne précisent pas comment les infrastructures ont été identifiées. Tout juste apprend-on, dans celui d'Eurojust, que « grâce à des techniques dites de "sinkholing" ou à l'utilisation d'outils permettant d'accéder aux systèmes des opérateurs à l'origine des logiciels malveillants, les enquêteurs sont parvenus à bloquer et à démanteler les réseaux de zombies ».
En 2014, le CERT-FR précisait que le DNS sinkholing (littéralement « trou d'évier DNS ») ou DNS blackhole (« trou noir DNS »), est une « technique utilisée principalement dans la lutte contre les programmes malveillants » :
« Le principe est de rediriger les noms de domaine malveillants vers un ou plusieurs serveurs non maîtrisés par les attaquants, afin d'empêcher les postes compromis de recevoir des commandes. »
IcedID, SystemBC, Pikabot, Smokeloader & Bumblebee
Abonnez-vous pour tout dévorer et ne rien manquer.
Déjà abonné ? Se connecter
Commentaires (5)
#1
Comme quoi l'ingénierie sociale reste le vecteur n°1
Et ce n'est pas près de s'arrêter avec toujours plus d'informations confidentiels dans la nature...
"Coucou TicketMaster"
Historique des modifications :
Posté le 30/05/2024 à 16h33
Merci, j'attendais avec impatience votre article à ce sujet, l'ayant vu passer sur plusieurs autres sites moins pointu.
Comme quoi l'ingénierie sociale reste le vecteur n°1
Et ce n'est pas près de s'arrêter avec toujours plus d'informations confidentiels dans la nature...
#1.1
#2
Bravo Jean-Marc !
Historique des modifications :
Posté le 31/05/2024 à 08h03
Article très intéressant et bien pédagogique.
Bravo !
#3
J'imagine que l'article sera mis à jour aujourd'hui à partir de 11H :)
#3.1