Quatre personnes ont été arrêtées et plus de 100 serveurs mis hors ligne lors de « la plus grande opération jamais réalisée » contre des logiciels malveillants jouant un rôle majeur dans le déploiement de rançongiciels, a annoncé jeudi Europol.

Baptisée « Endgame », cette opération internationale a eu « un impact mondial sur l'écosystème des +droppers+ », a déclaré Europol, désignant un type de logiciel utilisé pour insérer d'autres maliciels dans un système cible.

Outre les quatre interpellations, effectuées en Arménie et Ukraine, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d’Europe.

Ce coup de filet, coordonné entre les 27 et 29 mai depuis le siège de l'agence européenne de police à La Haye, a donné lieu à près d'une vingtaine de perquisitions en Arménie, Ukraine, ainsi qu'au Portugal et Pays-Bas. Plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada.

Selon l’enquête, ouverte en 2022, l’un des principaux suspects a gagné au moins 69 millions d’euros en crypto-monnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a précisé l'agence judiciaire européenne Eurojust.

Les autorités ont visé en premier lieu les groupements à l'origine des six familles de logiciels malveillants: IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot.

Ces « droppers » sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l’Office fédéral de police criminelle allemand et le parquet de Francfort.

« Principale menace »

Les droppers « permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles », a expliqué Europol. « Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés », a ajouté l'agence. « Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d’infection », a-t-elle précisé.

Les enquêteurs français ont identifié l’administrateur de « SystemBC », cartographié les infrastructures liées au « dropper », et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué la procureure de la République de Paris, Laure Beccuau, dans un communiqué.

SystemBC facilitait la communication anonyme entre un système infecté et des serveurs de commande et de contrôle, a précisé Europol.

L’administrateur de Pikabot - permettant le déploiement de rançongiciels, la prise de contrôle d'ordinateurs à distance et le vol de données - a aussi été identifié par les autorités françaises. Elles ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé M. Beccuau.

Les enquêteurs français ont également identifié l’un des acteurs principaux de « Bumblebee », procédé à son audition en Arménie, ainsi qu’à des opérations de perquisition.

Bumblebee, distribué principalement via des campagnes de phishing ou des sites Web compromis, a été conçu pour permettre le déploiement et l'exécution d'autres attaques.

« Trickbot », a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux Etats-Unis pendant la pandémie de Covid-19. « Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, cet été, a déclaré à l’AFP, Nicolas Guidoux, le chef de l’Office anti-cybercriminalité de la police judiciaire (Ofac), qui a coordonné l’opération côté français. « C’est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens », avant cet évènement mondial, où les autorités craignent de nombreuses cyberattaques, a-t-il relevé.

Ce n’est qu’après l’analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a-t-il précisé. Elles devraient se compter en centaines de milliers.

L'opération « Endgame » se poursuit et d'autres arrestations sont attendues, a précisé Europol.