Une opération internationale d’application de la loi nommée « Synergia » a démantelé plus de 1 300 serveurs de commande et de contrôle utilisés dans des campagnes de ransomware, de phishing et de logiciels malveillants.
Les serveurs de commande et de contrôle (C2) sont des appareils exploités par des acteurs de la menace pour contrôler les logiciels malveillants utilisés dans leurs attaques et pour collecter les informations envoyées par les appareils infectés.
Ces serveurs permettent aux auteurs de menaces d’envoyer des charges utiles ou des commandes supplémentaires à exécuter sur les appareils infectés, ce qui en fait une architecture intégrale dans de nombreuses attaques.
Pour certains logiciels malveillants, la mise hors ligne d’un serveur de commande et de contrôle empêche toute activité malveillante supplémentaire, car les auteurs de la menace ne peuvent ni envoyer ni recevoir de données des appareils infectés.
L’opération Synergia a identifié et mis hors service des serveurs de commandement et de contrôle entre septembre et novembre 2023, avec 60 agences d’application de la loi de 55 pays participant à l’opération.
À la suite de cette action, la police a identifié 1 300 adresses IP de serveurs C2 liées à des ransomwares, des logiciels malveillants et des campagnes de phishing.
Interpol indique qu’environ 70% des serveurs de commandement et de contrôle (C2) identifiés lors de l’opération ont été mis hors service, ce qui constitue une perturbation importante pour les cybercriminels.
La plupart de ces serveurs étaient situés en Europe, tandis qu’un nombre notable se trouvait également à Singapour et à Hong Kong. En Afrique, la plupart des activités ont eu lieu au Soudan du Sud et au Zimbabwe, et dans les Amériques, des opérations malveillantes ont été découvertes et démantelées en Bolivie.
De plus, grâce à Synergia, les autorités chargées de l’application de la loi ont arrêté 31 personnes soupçonnées d’être liées à des opérations de cybercriminalité et ont identifié 70 autres suspects. Les autorités ont également procédé à 30 perquisitions domiciliaires et confisqué des objets pouvant faciliter les enquêtes ultérieures.
« Les résultats de cette opération, obtenus grâce aux efforts collectifs de plusieurs pays et partenaires, témoignent de notre engagement indéfectible en faveur de la sauvegarde de l’espace numérique », a déclaré Bernardo Pillot, sous-directeur d’Interpol chargé de la cybercriminalité.
« En démantelant l’infrastructure derrière le phishing, les logiciels malveillants bancaires et les attaques par ransomware, nous faisons un pas de plus vers la protection de nos écosystèmes numériques et une expérience en ligne plus sûre et plus sécurisée pour tous. »
La société de cyber-renseignement Group-IB, qui a participé à l’opération en alimentant les enquêtes avec des données cruciales, rapporte que plus de 1 900 adresses IP associées à des opérations de ransomware, de cheval de Troie bancaire et de logiciels malveillants ont été identifiées cette fois.
Group-IB a déclaré que les 30% restants des serveurs qui n’ont pas encore été mis hors ligne font actuellement l’objet d’une enquête pour leur rôle dans les opérations de cybercriminalité.
Les autres partenaires de cyberintelligence qui ont participé à Synergia sont Kaspersky, Trend Micro, Shadowserver et Team Cymru.
La désactivation des serveurs C2 est une étape importante dans la perturbation des activités de cybercriminalité, car ils sont des composants essentiels des opérations de botnet, de l’exfiltration des données, de la récupération de la charge utile, de la coordination des attaques, de l’exécution des commandes à distance, etc.
De plus, la saisie de serveurs peut souvent aider à recueillir des renseignements qui peuvent être essentiels à la poursuite des enquêtes sur des opérations spécifiques de cybercriminalité.
Cependant, les retraits C2 ne sont pas toujours efficaces. Par exemple, les botnets peer-to-peer conçus pour être résilients peuvent rapidement se remettre de telles perturbations, tandis que les acteurs des ransomwares peuvent passer à l’utilisation de domaines et de serveurs de sauvegarde.