Dans le cadre de l’activité de suivi de l’opération Endgame, les forces de l’ordre ont retrouvé les clients du botnet Smokeloader et ont arrêté au moins cinq personnes.
Au cours de l’opération Endgame l’année dernière, plus de 100 serveurs utilisés par les principales opérations de chargement de logiciels malveillants (par exemple IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader, SystemBC) ont été saisis.
Dans un communiqué de presse publié aujourd’hui, Europol informe que l’opération se poursuit alors que les forces de l’ordre analysent les données des serveurs saisis et traquent les clients des entreprises malveillantes.
L’agence n’a fourni aucun détail sur les personnes détenues et a déclaré que l’enquête avait également conduit à des interrogatoires et à des suppressions de serveurs.
Selon les enquêteurs, Smokeloader était dirigé par un acteur de la menace sous le pseudonyme de « Superstar », qui fournissait le botnet en tant que service de paiement à l’installation permettant aux clients d’accéder aux machines des victimes.
“Dans une série d’actions coordonnées, les clients du botnet payant à l’installation Smokeloader, exploité par l’acteur connu sous le nom de « Superstar », ont été confrontés à des conséquences telles que des arrestations, des perquisitions domiciliaires, des mandats d’arrêt ou des « coups et pourparlers’ » – Europol
Smokeloader a été utilisé pour diverses activités cybercriminelles, du déploiement de ransomwares et de l’exécution de cryptomineurs à l’accès aux webcams et à la journalisation des frappes au clavier.
Une base de données saisie lors de l’opération Endgame comprenait des clients enregistrés pour les services de botnet Smokeloader, permettant aux agents de traquer les cybercriminels en reliant leurs alias en ligne à des individus réels.
Certains des suspects ont choisi de coopérer avec les forces de l’ordre et ont autorisé l’examen des preuves numériques présentes sur leurs appareils personnels.
Alors que l’opération Endgame se poursuit, Europol a mis en place un site Web dédié pour partager les dernières nouvelles sur les enquêtes sur les activités criminelles.
De plus, pour mieux comprendre les étapes de l’opération, Europol a publié une série de vidéos animées illustrant l’activité des agents et la manière dont ils traquent les affiliés et les clients de Smokeloader.
L’agence de l’Union européenne encourage toute personne ayant des informations sur les activités criminelles enquêtées à contacter les autorités via le site Web de l’Opération Endgame, qui est également traduit en russe.
À la suite du démantèlement massif des opérations de chargement de logiciels malveillants l’année dernière, un ensemble de sanctions a été imposé à six personnes impliquées dans des cyberattaques affectant des systèmes liés à “des infrastructures critiques, des fonctions étatiques critiques, le stockage ou le traitement d’informations classifiées et des équipes gouvernementales d’intervention d’urgence dans les États membres de l’UE.”
Le Trésor américain a également sanctionné les échanges de crypto-monnaie Cryptex et PM2BTC que plusieurs groupes de cybercriminalité, y compris des gangs de ransomwares russes, utilisaient pour blanchir des fonds.