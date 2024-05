Les forces de l’ordre aux États-Unis et en Europe ont annoncé aujourd’hui Opération Fin de partie, une action coordonnée contre certaines des plateformes de cybercriminalité les plus populaires pour diffuser des ransomwares et des logiciels malveillants voleurs de données. Surnommé « la plus grande opération jamais menée contre les botnets », cet effort international est présenté comme la première salve d’une campagne en cours ciblant les « droppers » ou « chargeurs » de logiciels malveillants avancés comme ID glacé, Chargeur de fumée et Robot trompeur.

L’Opération Endgame cible l’écosystème de la cybercriminalité prenant en charge les droppers/loaders, termes d’argot utilisés pour décrire de minuscules programmes sur mesure conçus pour installer subrepticement des logiciels malveillants sur un système cible. Les droppers sont généralement utilisés dans les premières étapes d’une violation et permettent aux cybercriminels de contourner les mesures de sécurité et de déployer des programmes nuisibles supplémentaires, notamment des virus, des ransomwares ou des logiciels espions.

Les droppers comme IcedID sont le plus souvent déployés via des pièces jointes à des e-mails, des sites Web piratés ou regroupés avec des logiciels légitimes. Par exemple, les cybercriminels utilisent depuis longtemps des publicités payantes sur Google pour inciter les gens à installer des logiciels malveillants déguisés en logiciels gratuits populaires, tels que Microsoft Teams, Adobe Reader et Discord. Dans ces cas-là, le compte-gouttes est le composant caché fourni avec le logiciel légitime qui charge silencieusement des logiciels malveillants sur le système de l’utilisateur.

Les droppers restent une composante si essentielle et à forte intensité humaine de presque toutes les grandes entreprises de cybercriminalité que les plus populaires se sont transformées en services de cybercriminalité à part entière. En ciblant les individus qui développent et maintiennent les services de compte-gouttes et leur infrastructure de soutien, les autorités espèrent perturber simultanément plusieurs opérations cybercriminelles.

Selon une déclaration de l’agence européenne de police Europol, entre le 27 et le 29 mai 2024, les autorités ont arrêté quatre suspects (un en Arménie et trois en Ukraine) et ont perturbé ou mis hors service plus de 100 serveurs Internet en Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine. Les autorités affirment avoir également saisi plus de 2 000 noms de domaine prenant en charge l’infrastructure dropper en ligne.

En outre, Europol a publié des informations sur huit fugitifs soupçonnés d’être impliqués dans des services de compte-gouttes et recherchés par l’Allemagne ; leurs noms et photos ont été ajoutés à la liste des « personnes les plus recherchées » d’Europol le 30 mai 2024.

« Les enquêtes menées jusqu’à présent ont révélé que l’un des principaux suspects a gagné au moins 69 millions d’euros en crypto-monnaie en louant des sites d’infrastructures criminelles pour déployer des ransomwares », a écrit Europol. « Les transactions du suspect sont constamment surveillées et l’autorisation légale de saisir ces actifs lors d’actions futures a déjà été obtenue. »

Il y a eu de nombreuses tentatives coordonnées de suppression de logiciels malveillants dans le passé, mais souvent, la coordination substantielle requise entre les organismes chargés de l’application de la loi et les sociétés de cybersécurité impliquées n’est pas maintenue après la perturbation et/ou les arrestations initiales.

Mais un nouveau site Web créé pour détailler l’action d’aujourd’hui — opération-endgame.com – fait valoir que cette fois-ci est différente et que d’autres retraits et arrestations sont à venir. « L’opération Endgame ne se termine pas aujourd’hui », promet le site. « De nouvelles actions seront annoncées sur ce site. »

Peut-être parce que bon nombre des plus grands cybercriminels d’aujourd’hui résident dans des pays qui sont effectivement hors de portée des forces de l’ordre internationales, des actions comme l’Opération Endgame semblent de plus en plus axées sur des jeux d’esprit, c’est-à-dire la traque des pirates.

Écrivant dans le numéro de ce mois-ci de Filaire, Matt Burgess montre que les forces de l’ordre occidentales se sont tournées vers des mesures psychologiques comme moyen supplémentaire de ralentir les pirates informatiques russes et de s’attaquer au cœur de l’écosystème de la cybercriminalité.

« Ces opérations psychologiques naissantes visent notamment à éroder la confiance limitée que les criminels ont les uns envers les autres, à creuser des fossés subtils entre les egos fragiles des hackers et à envoyer aux délinquants des messages personnalisés montrant qu’ils sont surveillés », a déclaré Burgess. a écrit.

Lorsque les autorités américaines et britanniques ont annoncé en février 2024 qu’elles avaient infiltré et saisi les infrastructures utilisées par le tristement célèbre Bit de verrouillage gang de ransomwares, ils ont emprunté la conception existante du site Web de humiliation des victimes de LockBit pour créer un lien vers des communiqués de presse sur le retrait, et ont inclus un compte à rebours qui a finalement été remplacé par les informations personnelles du chef présumé de LockBit.

Le site Web Operation Endgame comprend également un compte à rebours, qui sert à annoncer la sortie de plusieurs vidéos animées imitant le même type de publicités courtes et flashy que les cybercriminels établis produisent souvent pour promouvoir leurs services en ligne. Au moins deux des vidéos contiennent une quantité importante de texte écrit en russe.

Ce démantèlement coordonné fait suite à une autre action des forces de l’ordre cette semaine contre ce que le directeur du FBI a qualifié de « probablement le plus grand botnet jamais créé au monde ». Mercredi Département américain de la Justice (DOJ) a annoncé l’arrestation de YunHe Wangl’opérateur présumé du service d’anonymat en ligne vieux de dix ans 911 S5. Le gouvernement a également saisi les domaines et l’infrastructure en ligne du 911 S5, ce qui aurait transformé les ordinateurs exécutant divers produits « VPN gratuits » en relais de trafic Internet qui ont facilité des milliards de dollars de fraude et de cybercriminalité en ligne.