Europol a annoncé que les forces de l’ordre en Allemagne et en Ukraine avaient ciblé deux personnes soupçonnées d’être les principaux membres du groupe de rançongiciels DoppelPaymer.
L’opération consistait à perquisitionner plusieurs endroits dans les deux pays en février et était le résultat d’un effort coordonné impliquant également Europol, le FBI et la police néerlandaise.
Deux suspects arrêtés
« Des officiers allemands ont fait une descente au domicile d’un ressortissant allemand, qui aurait joué un rôle majeur dans le groupe de rançongiciels DoppelPaymer », informe Europol dans un communiqué de presse publié aujourd’hui.
L’agence note que « malgré la situation sécuritaire extrêmement difficile actuelle en Ukraine » en raison de l’invasion russe, des policiers du pays « ont interrogé un ressortissant ukrainien qui serait également membre du groupe central DoppelPaymer ».
Des officiers allemands ont fait une descente dans un endroit – la maison du ressortissant allemand qui aurait joué un « rôle majeur dans le groupe de rançongiciels DoppelPaymer ». En Ukraine, la police a fouillé deux endroits – à Kiev et à Kharkiv.
Du matériel électronique a été saisi et des enquêteurs et des experts en informatique l’examinent à la recherche de preuves médico-légales.
Trois experts d’Europol ont également été déployés en Allemagne pour recouper les informations opérationnelles avec les informations des bases de données d’Europol et pour aider à l’analyse, au traçage cryptographique et au travail médico-légal.
« L’analyse de ces données et d’autres cas connexes devrait déclencher de nouvelles activités d’enquête », a déclaré Europol. Ce travail peut révéler d’autres membres du groupe des rançongiciels ainsi que des affiliés qui ont déployé le logiciel malveillant et rançonné les victimes à travers le monde.
Trois autres suspects de DoppelPaymer recherchés
Les autorités allemandes estiment que l’opération de rançongiciel DoppelPaymer impliquait cinq membres principaux qui ont maintenu l’infrastructure d’attaque, les sites de fuite de données, géré les négociations et déployé le logiciel malveillant sur les réseaux piratés.
Des mandats d’arrêt ont été émis contre trois autres suspects que les forces de l’ordre recherchent actuellement dans le monde entier :
- Igor Garshin/Garschin – soupçonné d’être responsable de la reconnaissance, de la violation et du déploiement du casier DoppelPaymer sur les réseaux de victimes
- lgor Olegovich Turashev – soupçonné d’avoir joué un rôle majeur dans les attaques contre des entreprises allemandes, agissant en tant qu’administrateur de l’infrastructure et des logiciels malveillants utilisés pour les intrusions
- Irina Zemlianikina – responsable de la phase initiale de l’attaque, envoyant des e-mails malveillants ; elle gérait également les sites de fuite de données, le système de chat et publiait les données volées aux victimes
Selon la police allemande, les cinq suspects sont les « cerveaux » du gang de rançongiciels DoppelPaymer et sont connectés à la Russie.
Logiciel de rançon DoppelPaymer
L’opération de ransomware DoppelPaymer est apparue en 2019 ciblant les organisations d’infrastructures critiques et les grandes entreprises.
En 2020, l’acteur de la menace a commencé à voler des données aux réseaux victimes et a adopté la méthode de la double extorsion en menaçant de publier les fichiers volés sur un site de fuite sur le réseau Tor.
Europol estime qu’entre mai 2019 et mars 2021, les victimes basées aux États-Unis ont payé à DoppelPaymer au moins 42,4 millions de dollars. Les autorités allemandes ont également confirmé 37 cas où des entreprises ont été ciblées par le gang des rançongiciels.
Le malware DoppelPaymer est basé sur le ransomware BitPaymer. La menace de cryptage de fichiers a été diffusée via le logiciel malveillant Dridex, qui a été poussé par le tristement célèbre botnet Emotet.
Le vecteur d’infection était des e-mails de harponnage contenant des documents contenant du code VBS ou JavaScript malveillant. L’auteur de la menace a également utilisé un outil légitime, Process Hacker, pour mettre fin aux produits liés à la sécurité exécutés sur les systèmes victimes.
Bien que l’opération ait été rebaptisée « Grief » (Pay or Grief) en juillet 2021 pour tenter d’échapper aux forces de l’ordre, les attaques sont devenues plus rares.
Parmi les victimes de premier plan de DoppelPaymer figurent Kia Motors America, le comté de Delaware en Pennsylvanie (payé une rançon de 500 000 $), le fabricant d’ordinateurs portables Compal, l’université de Newcastle (fichiers divulgués), le géant de l’électronique Foxconn et le Dutch Research Council (NWO).
Pour obliger les victimes à payer la rançon, les opérateurs du rançongiciel DoppelPaymer ont menacé d’effacer les clés de déchiffrement si les victimes engageaient des négociateurs professionnels pour obtenir un meilleur prix pour récupérer les données verrouillées.
Cependant, la fréquence des attaques a diminué au point que le gang n’entretient plus le site de la fuite.
MISE À JOUR [6 mars, 11 h 10 HNE] : article mis à jour avec de nouvelles informations sur trois autres suspects recherchés par les forces de l’ordre pour leur rôle majeur dans l’opération de rançongiciel DoppelPaymer.