Une opération policière coordonnée par les agences de justice et de police de l’Union européenne a mis hors d’état de nuire des réseaux informatiques responsables de la diffusion de rançongiciels par le biais de courriels infectés, dans le cadre de ce qu’elle appelle la plus grande opération internationale jamais menée contre cette forme lucrative de cybercriminalité.
Eurojust, l’agence de coopération judiciaire de l’Union européenne, a déclaré jeudi que la police avait arrêté quatre suspects «de grande valeur», mis hors service plus de 100 serveurs et pris le contrôle de plus de 2000 domaines Internet.
La vaste opération de démantèlement de cette semaine, connue sous le nom de code Endgame, a fait l’objet d’une action coordonnée en Allemagne, aux Pays-Bas, en France, au Danemark, en Ukraine, aux États-Unis et au Royaume-Uni, a indiqué Eurojust.
Par ailleurs, trois suspects ont été arrêtés en Ukraine et un en Arménie. Des perquisitions ont été menées en Ukraine, au Portugal, aux Pays-Bas et en Arménie, a ajouté Europol, l’agence de police de l’UE.
Il s’agit de la dernière opération internationale en date visant à perturber les opérations liées aux logiciels malveillants et aux rançongiciels. Elle fait suite au démantèlement massif, en 2021, d’un réseau d’ordinateurs zombies (un «botnet») appelé Emotet, a indiqué Eurojust. Un tel réseau est généralement utilisé pour des activités malveillantes.
Europol a promis que cette opération ne serait pas la dernière.
«L’opération Endgame ne se termine pas aujourd’hui. De nouvelles actions seront annoncées sur le site web Operation Endgame», a indiqué Europol dans un communiqué.
La police néerlandaise a affirmé que les dommages financiers infligés par le réseau aux gouvernements, aux entreprises et aux utilisateurs individuels sont estimés à des centaines de millions d’euros.
«Des millions de personnes sont également victimes parce que leurs systèmes ont été infectés et font donc partie de ces réseaux de zombies», précise le communiqué néerlandais.
Eurojust a révélé que l’un des principaux suspects a gagné des crypto-monnaies d’une valeur d’au moins 74 millions $ US en louant des infrastructures criminelles pour diffuser des rançongiciels.
«Les transactions du suspect font l’objet d’une surveillance constante et l’autorisation légale de saisir ces actifs en cas d’actions futures a déjà été obtenue», a ajouté Europol, l’agence de police de l’UE.
L’opération visait des «droppers» de logiciels malveillants appelés IcedID, Pikabot, Smokeloader, Bumblebee et Trickbot. Un «dropper» est un logiciel malveillant généralement diffusé dans des courriels contenant des liens infectés ou des pièces jointes telles que des factures d’expédition ou des formulaires de commande.
«Cette approche a eu un impact global sur l’écosystème des droppers», a déclaré Europol. Le logiciel malveillant, dont l’infrastructure a été mise hors service au cours des journées d’action, a facilité les attaques par rançongiciel et autres logiciels malveillants.»
La police néerlandaise a rappelé que ces actions devraient alerter les cybercriminels sur le fait qu’ils peuvent être arrêtés.
«Cette opération montre que l’on laisse toujours des traces, que personne n’est introuvable, même en ligne», a déclaré Stan Duijf, de la police nationale néerlandaise, dans une déclaration vidéo.
Martina Link, directrice adjointe de l’Office fédéral de la police criminelle en Allemagne, a qualifié cette opération de «plus grande opération internationale de cyberpolice à ce jour».
«Grâce à une coopération internationale intensive, il a été possible de rendre inoffensives six des plus grandes familles de logiciels malveillants», a-t-elle déclaré dans un communiqué.
Le PDG de Searchlight Cyber, une société qui fournit des renseignements sur le Web caché, a salué l’opération comme un exemple de la manière dont la coopération internationale peut permettre de réprimer la cybercriminalité.
«Alors que les cybercriminels utilisaient auparavant leur capacité à opérer au-delà des frontières pour échapper à la justice, des opérations comme Endgame – coordonnées entre plusieurs juridictions – démontrent que cette tactique d’évasion est de plus en plus intenable, a déclaré Ben Jones dans des commentaires envoyés par courriel à l’Associated Press.
«Le filet des forces de l’ordre s’élargit et les ‘zones de sécurité’ pour les activités cybercriminelles deviennent de plus en plus difficiles à trouver.»
Les autorités allemandes demandent l’arrestation de sept personnes soupçonnées de faire partie d’une organisation criminelle dont l’objectif était de propager le logiciel malveillant Trickbot. Une huitième personne est soupçonnée d’être l’un des chefs de file du groupe à l’origine de Smokeloader.
Europol a indiqué qu’elle ajoutait les huit suspects recherchés par l’Allemagne à sa liste des personnes les plus recherchées.