En coopération avec Europol et Eurojust, les forces de l’ordre de sept pays ont arrêté en Ukraine les principaux membres d’un groupe de ransomwares liés à des attaques contre des organisations dans 71 pays.

Les cybercriminels ont paralysé les opérations de grandes entreprises lors d’attaques utilisant des ransomwares tels que LockerGoga, MegaCortex, HIVE et Dharma.

Les rôles au sein de ce réseau criminel variaient considérablement : certains membres ont piraté les réseaux informatiques, tandis que d’autres auraient aidé à blanchir les paiements en cryptomonnaie effectués par les victimes pour décrypter leurs fichiers.

Les attaquants ont accédé aux réseaux de leurs cibles en volant les informations d’identification des utilisateurs lors d’attaques par force brute et par injection SQL, ainsi qu’en utilisant des e-mails de phishing contenant des pièces jointes malveillantes.

Une fois sur place, ils ont utilisé des outils tels que les logiciels malveillants TrickBot, Cobalt Strike et PowerShell Empire pour se déplacer latéralement et compromettre d’autres systèmes avant de déclencher des charges utiles de ransomware précédemment déployées.

L’enquête a révélé que ce groupe organisé d’affiliés de ransomwares avait crypté plus de 250 serveurs de grandes entreprises, entraînant des pertes dépassant plusieurs centaines de millions d’euros.

Arrestations de gangs de ransomwares en Ukraine
Le 21 novembre, des raids coordonnés dans 30 endroits à Kiev, Tcherkassy, Rivne et Vinnytsia ont abouti à l’arrestation du cerveau du groupe, âgé de 32 ans, et à la capture de quatre complices.

Plus de 20 enquêteurs venus de Norvège, de France, d’Allemagne et des États-Unis ont aidé la police nationale ukrainienne dans son enquête à Kiev. Europol a également mis en place un centre de commandement virtuel aux Pays-Bas pour traiter les données saisies lors des perquisitions.

Cette opération fait suite à d’autres arrestations en 2021 dans le cadre de la même action policière lorsque la police a arrêté 12 personnes liées à des attaques de ransomware contre 1 800 victimes dans 71 pays.

Comme l’enquête l’a révélé il y a deux ans, les attaquants ont déployé les ransomwares LockerGoga, MegaCortex et Dharma. Ils ont également utilisé des logiciels malveillants comme Trickbot et des outils de post-exploitation tels que Cobalt Strike dans leurs attaques.

Les efforts ultérieurs d’Europol et de Norvège se sont concentrés sur l’analyse des données sur les appareils saisis en Ukraine en 2021 et ont permis d’identifier d’autres suspects arrêtés il y a une semaine à Kiev.

Cette action policière internationale a été lancée par les autorités françaises en septembre 2019 et vise à localiser les acteurs de la menace en Ukraine et à les traduire en justice avec l’aide d’une équipe commune d’enquête (JIT) comprenant la Norvège, la France, le Royaume-Uni et l’Ukraine, ainsi que des financiers. le soutien d’Eurojust et la collaboration avec les autorités néerlandaises, allemandes, suisses et américaines.

La liste des organismes d’application de la loi participants comprend :

  • Norvège : Service national d’enquête criminelle (Kripos)
  • France : Parquet de Paris, Police Nationale (Police Nationale – OCLCTIC)
  • Pays-Bas : Police nationale (Politie), Ministère public national (Landelijk Parket, Openbaar Ministryie)
  • Ukraine : Bureau du Procureur général (Офіс Генерального прокурора), Police nationale d’Ukraine (Національна поліція України)
  • Allemagne : Parquet de Stuttgart, Quartier général de la police de Reutlingen (Polizeipräsidium Reutlingen) CID Esslingen
  • Suisse : Office fédéral de la police (fedpol), Polizei Bâle-Campagne, Ministère public du canton de Zurich, Police cantonale de Zurich
  • États-Unis : Services secrets des États-Unis (USSS), Federal Bureau of Investigation (FBI)
  • Europol : Centre européen de lutte contre la cybercriminalité (EC3)
  • Eurojust

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *