Europol a mené entre le 27 et le 29 mai 2024 l'opération « Endgame », la plus grande action jamais entreprise contre les logiciels malveillants appelés « droppers ». Un coup de filet mondial qui a permis de démanteler un vaste réseau criminel lié au déploiement de rançongiciels.
Il s'agit de « la plus grande opération jamais réalisée » pour reprendre les mots d'Europol qui décrit son dernier haut fait dans la lutte contre la cybercriminalité. Dans le collimateur des gendarmes européens, les « droppers », des logiciels malveillants servant de cheval de Troie pour infiltrer des systèmes informatiques et y déployer d'autres programmes comme des rançongiciels, des virus ou des logiciels espions. Europol qualifie ces droppers de « principale menace dans la chaîne d'infection numérique ».
Fin de partie pour les cyberpirates, donc. Entre le 27 et le 29 mai 2024, l'agence européenne de police judiciaire a coordonné l'opération « Endgame » visant à démanteler les infrastructures criminelles à l'origine de plusieurs familles de droppers parmi lesquels IcedID, SystemBC, Pikabot ou encore Bumblebee. Au total, 4 arrestations ont été effectuées et plus de 100 serveurs ont été neutralisés dans une dizaine de pays.
01 décembre 2023 à 13h11
SystemBC, Bumblebee, SmokeLoader, IceID et Pickabot, les « droppers » utilisés par les hackers et neutralisés par Europol
Les « droppers » sont un type de logiciel malveillant conçu pour installer d'autres programmes infectés sur un système cible. Ils sont utilisés lors de la première étape d'une attaque malveillante, durant laquelle ils permettent aux criminels de contourner les mesures de sécurité et de déployer des logiciels nuisibles supplémentaires comme des virus, des rançongiciels ou des logiciels espions.
Les droppers ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder aux systèmes visés et y mettre en œuvre des logiciels malveillants. Leur fonctionnement se déroule en plusieurs phases:
En premier, l'infiltration : les droppers peuvent pénétrer les systèmes par divers canaux comme les pièces jointes de courriels, les sites Web compromis, ou être intégrés à des logiciels légitimes.
Ensuite, l'exécution: une fois exécuté, le dropper installe le logiciel malveillant supplémentaire sur l'ordinateur de la victime, souvent à son insu.
Puis, l'évasion: les droppers sont conçus pour éviter la détection par les logiciels de sécurité, en recourant à des techniques comme le chiffrement de leur code, l'exécution en mémoire sans écriture sur le disque ou encore l'usurpation de processus logiciels légitimes.
Enfin, la livraison de la charge malveillante: après avoir déployé le logiciel malveillant, le dropper peut rester inactif ou se supprimer pour échapper à la détection, laissant la charge utile exercer ses activités malveillantes.
Parmi les droppers visés par Endgame, SystemBC facilitait la communication anonyme entre un système infecté et des serveurs illégaux. Bumblebee permettait le déploiement d'autres attaques après avoir été distribué par hameçonnage ou sites Web piratés. SmokeLoader installait des logiciels malveillants supplémentaires. IcedID (BokBot), d'abord un cheval de Troie bancaire, s'est diversifié vers d'autres cybercrimes. Pikabot donnait un accès initial aux ordinateurs compromis pour permettre le déploiement de rançongiciels, le contrôle à distance ou le vol de données.
Comment Europol a mené l'opération « Endgame » pour stopper les droppers et arrêter les cybercriminels
L'opération « Endgame », initiée et menée par la France, l'Allemagne et les Pays-Bas avec le soutien d'Eurojust, a mobilisé de nombreux pays européens comme le Danemark, le Royaume-Uni, mais aussi les États-Unis, l'Arménie, la Bulgarie, la Lituanie, le Portugal, la Roumanie, la Suisse et l'Ukraine.
Au total, 4 arrestations ont eu lieu, 1 en Arménie et 3 en Ukraine. 16 perquisitions ont été menées, dont 1 en Arménie, 1 aux Pays-Bas, 3 au Portugal et 11 en Ukraine.
L'opération a également permis la neutralisation ou la perturbation de plus de 100 serveurs illégaux répartis dans une dizaine de pays comme la Bulgarie, le Canada, l'Allemagne, la Lituanie, les Pays-Bas, la Roumanie, la Suisse, le Royaume-Uni, les États-Unis et l'Ukraine.
Plus de 2 000 noms de domaine liés à ces activités sont désormais sous le contrôle des forces de l'ordre. Les enquêteurs ont par ailleurs découvert qu'un des principaux suspects avait gagné au moins 69 millions d'euros en cryptomonnaies en louant son infrastructure criminelle pour le déploiement de rançongiciels.
Europol a coordonné l'échange d'informations et apporté un soutien analytique, de traçage des cryptomonnaies et de forensique numérique. Un centre de commandement opérationnel réunissant plus de 20 officiers de police de différents pays a été mis en place au siège d'Europol à La Haye.
Les Pays-Bas, le Portugal, les États-Unis et l'Ukraine ont également disposé de leurs propres centres de commandement locaux. Eurojust a de son côté facilité la coopération judiciaire entre les autorités impliquées. Cette opération d'envergure ne fait que commencer selon Europol, avec de nouvelles actions et arrestations à venir. Pour autant, il est nécessaire de rester prudent sur cette bataille remportée par Europol, qui n'a pas encore gagné la guerre. L'Histoire des cybercriminels nous a appris que gangs, organisations et hackers pouvaient renaître de leurs cendres, tel le phénix Lockbit.
01 décembre 2024 à 11h06