Une opération internationale d’application de la loi baptisée « Opération Endgame » a saisi plus de 100 serveurs dans le monde entier utilisés par plusieurs grandes opérations de chargement de logiciels malveillants, notamment IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader et SystemBC.

L’action, qui s’est déroulée entre le 27 et le 29 mai 2024, a impliqué 16 perquisitions à travers l’Europe et a conduit à l’arrestation de quatre personnes, une en Arménie et trois en Ukraine.

De plus, la police a identifié huit fugitifs liés aux opérations de logiciels malveillants, qui seront ajoutés à la liste des « personnes les plus recherchées » d’Europol plus tard dans la journée.

L’infrastructure saisie était répartie en Europe et en Amérique du Nord, hébergeant plus de 2 000 domaines facilitant les services illicites, tous sous le contrôle des autorités maintenant.

L’opération Endgame impliquait des forces de police d’Allemagne, des États-Unis, du Royaume-Uni, de France, du Danemark et des Pays-Bas.

L’opération a été soutenue par des informations fournies par des experts de Bitdefender, Cryptolaemus, Sekoia, Shadowserver, Team Cymru, Prodaft, Proofpoint, NFIR, Computest, Northwave, Fox-IT, HaveIBeenPwned, Spamhaus et DIVD.

Bannière de saisie sur l’un des domaines saisis

Des millions d’ordinateurs infectés
Les droppers de logiciels malveillants sont des outils spécialisés conçus pour établir l’accès initial aux appareils. Les cybercriminels derrière eux envoient généralement des e-mails malveillants pour diffuser le logiciel malveillant ou masquer des charges utiles sur des programmes d’installation de chevaux de Troie promus par des publicités malveillantes ou des torrents.

Bon nombre de ces droppers ont commencé comme des chevaux de Troie bancaires et ont ensuite évolué pour se concentrer sur l’accès initial, tout en simplifiant leur fonctionnement et en supprimant les fonctionnalités malveillantes pour réduire la probabilité de détection.

Ils emploient des tactiques évasives telles que l’obscurcissement de code lourd et l’usurpation d’identité de processus légitime, résidant souvent dans la mémoire.

Une fois l’infection établie, ils introduisent des charges utiles plus dangereuses dans le système compromis, telles que des voleurs d’informations et des ransomwares.

Europol a déclaré que l’un des principaux suspects impliqués dans l’une des opérations de logiciels malveillants ciblées avait gagné plus de 69 millions d’euros (74,5 millions de dollars) en louant leur infrastructure pour le déploiement de ransomwares.

“Il a été découvert grâce aux enquêtes menées jusqu’à présent que l’un des principaux suspects avait gagné au moins 69 millions d’euros en crypto-monnaie en louant des sites d’infrastructure criminelle pour déployer des ransomwares”, lit-on dans l’annonce d’Europol.

“Les transactions du suspect sont constamment surveillées et l’autorisation légale de saisir ces actifs lors d’actions futures a déjà été obtenue.”

De plus amples informations sur les suspects et l’opération de maintien de l’ordre devraient être publiées sur ce portail dédié plus tard aujourd’hui.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *