C'est un coup de filet d'ampleur que vient de mener l'agence européenne de police criminelle, dans sa lutte contre les logiciels malveillants. Mené entre les 27 et 29 mai, il a donné lieu à quatre interpellations, effectuées en Arménie et en Ukraine. Près d'une vingtaine de perquisitions ont eu lieu dans ces deux pays, ainsi qu'au Portugal et au Pays-Bas. Et plus de 100 serveurs ont été saisis dans différents pays européens, aux États-Unis et au Canada. Baptisée « Endgame », cette opération internationale a eu « un impact mondial sur l'écosystème des "droppers" », assure Europol.

Les droppers « permettent aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles. Eux-mêmes ne causent généralement pas de dommages directs, mais sont cruciaux pour accéder et mettre en œuvre des logiciels nuisibles sur les systèmes concernés. Tous sont désormais utilisés pour déployer des rançongiciels et sont considérés comme la principale menace dans la chaîne d'infection », a ajouté l'agence.

Ces « droppers » sont généralement installés via des mails, contenant des liens infectés ou des pièces jointes Word et PDF, pour accéder aux données personnelles et aux comptes bancaires des utilisateurs d'ordinateurs, a expliqué l'agence judiciaire européenne, Eurojust.

Outre les quatre interpellations, huit individus liés à ces activités criminelles vont être ajoutés à la liste des personnes les plus recherchées d'Europe.

Lire aussiCyberattaques : 48 pays vont s'engager à ne plus payer de rançon

Les autorités françaises sur le pont

Les autorités ont visé en premier lieu les groupements à l'origine des six familles de logiciels malveillants : IcedID, SystemBC, Bumblebee, Smokeloader, Pikabot et Trickbot. Ces « droppers » sont associés à au moins 15 groupements de rançongiciels, ont précisé dans un communiqué conjoint l'Office fédéral de police criminelle allemand et le parquet de Francfort. Selon l'enquête, ouverte en 2022, l'un des principaux suspects a gagné au moins 69 millions d'euros en crypto-monnaie en louant une infrastructure criminelle pour le déploiement de rançongiciels, a précisé Eurojust.

Les enquêteurs français ont joué un rôle crucial dans l'opération « Endgame ». Ils ont identifié l'administrateur de « SystemBC », cartographié les infrastructures liées au « dropper », et coordonné le démantèlement de dizaines de serveurs de contrôle, a indiqué ce jeudi la procureure de la République de Paris, Laure Beccuau, dans un communiqué. SystemBC facilitait la communication anonyme entre un système infecté et des serveurs de commande et de contrôle, a précisé Europol. Ils ont aussi identifié l'administrateur de Pikabot, « dropper » qui permettait le déploiement de rançongiciels, la prise de contrôle d'ordinateurs à distance et le vol de données. Elles ont procédé à son interpellation et à une perquisition de son domicile, en Ukraine, avec le concours des autorités ukrainiennes, a précisé la procureure.

Les enquêteurs français ont également identifié l'un des acteurs principaux de « Bumblebee », procédé à son audition en Arménie, ainsi qu'à des opérations de perquisition. Bumblebee, distribué principalement via des campagnes de phishing ou des sites web compromis, a été conçu pour permettre le déploiement et l'exécution d'autres attaques.

Quant à « Trickbot », il a été utilisé notamment pour rançonner des hôpitaux et centres de santé aux États-Unis pendant la pandémie de Covid-19.

Lire aussiFace aux cyberattaques russes, l'UE lance son premier grand « bouclier cyber »

Des millions de victimes

Ce sont principalement des entreprises, autorités et institutions nationales qui ont été victimes de ces « systèmes malveillants » démantelés, a précisé Eurojust. Elles ont, d'après la police néerlandaise, subi des dommages s'élevant à des « centaines de millions d'euros ».

« Des millions de particuliers ont également été victimes parce que leurs systèmes ont été infectés, ce qui les a intégrés » à ces logiciels malveillants, a précisé la police néerlandaise dans un communiqué.

Ce n'est qu'après l'analyse des serveurs démantelés que les autorités pourront donner une estimation du nombre de victimes, a toutefois indiqué Nicolas Guidoux, le chef de l'Office anti-cybercriminalité de la police judiciaire (Ofac), qui a coordonné l'opération côté français. Elles devraient se compter en centaines de milliers selon lui.

Agir avant les JO de Paris

Le timing de ce coup de filet ne doit rien au hasard. « Cette opération, on voulait la faire avant les Jeux olympiques » de Paris, cet été, a déclaré à l'AFP le chef de l'Ofac. « C'est important de fragiliser les infrastructures attaquantes, de limiter leurs moyens », avant cet évènement mondial, a relevé Nicolas Guidoux.

D'autant plus que les autorités craignent de nombreuses cyberattaques pendant la période de cette grande messe sportive, qui se déroulera du 26 juillet au 11 août dans l'Hexagone. La menace cyber va y être multipliée par dix, selon le Comité d'organisation des Jeux olympiques (Cojo). Et personne ne sera épargné : déjà réelles pour les collectivités, les établissements de santé et les grands événements sportifs, les attaques, toujours plus sophistiquées, peuvent viser le grand public tout comme les entreprises et leurs dirigeants.

En attendant, l'opération « Endgame » se poursuit et d'autres arrestations sont attendues, a prévenu Europol.

(Avec AFP)