LA HAYE, Pays-Bas – La police, en coordination avec les services de justice et de police de l’Union européenne, a démantelé les réseaux informatiques responsables de la propagation de ransomwares via des courriers électroniques infectés, dans le cadre de ce qu’elle a appelé la plus grande opération internationale jamais menée contre cette forme lucrative de cybercriminalité.
La police a arrêté quatre suspects de grande valeur, mis hors service plus de 100 serveurs et pris le contrôle de plus de 2 000 domaines Internet, a annoncé jeudi l’agence de coopération judiciaire de l’Union européenne, Eurojust.
Le retrait massif de cette semaine, baptisé Endgame, a impliqué des actions coordonnées en Allemagne, aux Pays-Bas, en France, au Danemark, en Ukraine, aux États-Unis et au Royaume-Uni, a indiqué Eurojust. Trois suspects ont également été arrêtés en Ukraine et un en Arménie. Europol a ajouté que des recherches ont été menées en Ukraine, au Portugal, aux Pays-Bas et en Arménie.
Il s’agit de la dernière opération internationale visant à perturber les opérations de malwares et de ransomwares. Eurojust a déclaré que cela faisait suite au démantèlement à grande échelle en 2021 d’un botnet appelé Emotet. Un botnet est un réseau d’ordinateurs piratés généralement utilisé pour mener des activités malveillantes.
Europol a promis que ce ne serait pas le dernier démantèlement.
« L’opération Endgame ne se termine pas aujourd’hui. De nouvelles mesures seront annoncées sur le site Internet de l’opération Endgame », a indiqué Europol dans un communiqué.
La police néerlandaise a déclaré que les dommages financiers causés par le réseau aux gouvernements, aux entreprises et aux utilisateurs individuels sont estimés à des centaines de millions d’euros (dollars).
« Des millions de personnes sont également victimes parce que leurs systèmes ont été infectés, ce qui les fait participer à ces botnets », indique le communiqué néerlandais.
Eurojust a déclaré que l’un des principaux suspects avait obtenu une crypto-monnaie d’une valeur d’au moins 69 millions d’euros (74 millions de dollars) en louant une infrastructure criminelle pour diffuser des ransomwares.
Europol a ajouté : « Les transactions du suspect sont constamment surveillées et une autorisation légale a déjà été obtenue pour saisir ces actifs lors de mesures futures. »
L’opération ciblait des logiciels malveillants appelés IcedID, Pikabot, Smokeloader, Bumblebee et Trickbot. Un compte-gouttes est un malware qui se propage généralement dans les e-mails contenant des liens ou des pièces jointes infectés tels que des factures d’expédition ou des bons de commande.
« Cette approche a eu un impact global sur l’écosystème du compte-gouttes. Le malware, dont l’infrastructure a été supprimée pendant les jours de l’événement, a facilité les attaques utilisant des ransomwares et d’autres malwares », a déclaré Europol.
Ben Jones, PDG de Searchlight Cyber, une société qui fournit des renseignements sur le dark web, a salué l’opération comme un exemple de la manière dont la coopération internationale peut réprimer la cybercriminalité.
« Alors que les cybercriminels utilisaient auparavant leur capacité à opérer au-delà des frontières pour échapper à la justice, des opérations comme Endgame – coordonnées dans plusieurs juridictions – prouvent que cette tactique d’évasion est intenable », a déclaré Jones dans des commentaires envoyés par courrier électronique à l’Associated Press. « Internet se développe et l’accès aux « zones de sécurité » pour les activités cybercriminelles devient de plus en plus difficile. »
La police néerlandaise a déclaré que ces mesures devraient alerter les cybercriminels de la possibilité d’une arrestation.
« Cette opération montre qu’on laisse toujours des traces et que personne ne peut être trouvé, même sur Internet », a déclaré Stan Doive, de la police nationale néerlandaise, dans une déclaration vidéo.
Martina Lenk, chef adjointe de la police criminelle fédérale allemande, a qualifié cette opération de « plus grande opération de cyberpolice internationale à ce jour ».
« Grâce à une coopération internationale approfondie, il a été possible de rendre inoffensifs six des plus grandes familles de logiciels malveillants », a-t-il déclaré dans un communiqué.
Les autorités allemandes cherchent à arrêter sept personnes soupçonnées d’être membres d’une organisation criminelle visant à propager le malware Trickbot. Une huitième personne est soupçonnée d’être l’un des dirigeants du groupe derrière le Smokeloader.
Europol a annoncé qu’il ajouterait les huit suspects recherchés par l’Allemagne à sa liste des personnes les plus recherchées.
___
Geir Molson, rédacteur d’Associated Press à Berlin, a contribué à ce rapport.