Opération Endgame : Une frappe mondiale contre les botnets et la cybercriminalité

Entre le 27 et le 29 mai 2024, l’opération Endgame a ciblé des « droppers », des outils pirates. Ces actions ont visé à perturber les services criminels en arrêtant des hackers malveillants importants et en démantelant les infrastructures criminelles. L’un des pirates aurait gagné plus de 69 millions de dollars.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Cette approche a eu un impact mondial sur l’écosystème des droppers, des outils malveillants qui permettent, entre autre, de télécharger des codes pirates (rançongiciel, Etc.). Les infrastructures de malware, démantelées pendant ces journées d’action, facilitaient les attaques par ransomware et autres logiciels malveillants. À la suite de ces actions, huit fugitifs liés à ces activités criminelles, recherchés par l’Allemagne, seront ajoutés à la liste des personnes les plus recherchées d’Europe le 30 mai 2024. Ces individus sont recherchés pour leur implication dans des activités de cybercriminalité grave.

Cette opération est la plus grande jamais menée contre les botnets, qui jouent un rôle majeur dans le déploiement de ransomwares. L’opération, initiée et dirigée par la France, l’Allemagne et les Pays-Bas, a également été soutenue par Eurojust et a impliqué le Danemark, le Royaume-Uni et les États-Unis. De plus, l’Arménie, la Bulgarie, la Lituanie, le Portugal, la Roumanie, la Suisse et l’Ukraine ont également soutenu l’opération par diverses actions telles que des arrestations, des interrogatoires de suspects, des perquisitions et des saisies ou des démantèlements de serveurs et de domaines. L’opération a également été soutenue par plusieurs partenaires privés.

La police française était présente, en Ukraine, lors de l’opération « End Game ».

Les actions coordonnées ont conduit à :

  • 4 arrestations (1 en Arménie et 3 en Ukraine)
  • 16 perquisitions (1 en Arménie, 1 aux Pays-Bas, 3 au Portugal et 11 en Ukraine)
  • Plus de 100 serveurs démantelés ou perturbés en Bulgarie, au Canada, en Allemagne, en Lituanie, aux Pays-Bas, en Roumanie, en Suisse, au Royaume-Uni, aux États-Unis et en Ukraine
  • Plus de 2 000 domaines sous le contrôle des forces de l’ordre

En outre, les enquêtes ont révélé qu’un des principaux suspects a gagné au moins 69 millions d’euros en cryptomonnaie en louant des infrastructures criminelles pour déployer des ransomwares. Les transactions de ce suspect sont constamment surveillées et une autorisation légale de saisie de ces actifs a déjà été obtenue.

ZATAZ avait croisé certains des pirates impliqués sur des forums Russes, dès 2020. [site traduit]

Qu’est-ce qu’un dropper et comment fonctionne-t-il ?

Les droppers sont un type de logiciel malveillant conçu pour installer d’autres malwares sur un système cible. Ils sont utilisés lors de la première phase d’une attaque de malware, permettant aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles supplémentaires, tels que des virus, des ransomwares ou des logiciels espions. Les droppers eux-mêmes ne causent généralement pas de dommages directs, mais ils sont cruciaux pour accéder et implanter des logiciels malveillants sur les systèmes affectés. ZATAZ vous explique comment fonctionne un dropper.

  1. Infiltration : Les droppers peuvent entrer dans les systèmes par divers canaux, tels que les pièces jointes d’e-mails, les sites web compromis, ou en étant associés à des logiciels légitimes.
  2. Exécution : Une fois exécuté, le dropper installe le malware supplémentaire sur l’ordinateur de la victime. Cette installation se fait souvent à l’insu de l’utilisateur.
  3. Évasion : Les droppers sont conçus pour éviter la détection par les logiciels de sécurité. Ils peuvent utiliser des méthodes telles que l’obfuscation de leur code, l’exécution en mémoire sans écriture sur le disque, ou l’usurpation de processus de logiciels légitimes.
  4. Livraison de la charge utile : Après avoir déployé le malware supplémentaire, le dropper peut soit rester inactif, soit se supprimer pour éviter la détection, laissant la charge utile accomplir les activités malveillantes prévues.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Les malwares ciblés par l’opération

  • SystemBC facilitait la communication anonyme entre un système infecté et des serveurs de commande et de contrôle.

L’un des pirates attrapé par l’OP ENDGAME, et son business.

  • Bumblebee, distribué principalement via des campagnes de phishing ou des sites web compromis, était conçu pour permettre la livraison et l’exécution de charges utiles supplémentaires sur les systèmes compromis. Bumblebee est un téléchargeur sophistiqué observé pour la première fois en mars 2022. L’objectif de Bumblebee est de télécharger et d’exécuter des charges utiles supplémentaires. Les chercheurs de Proofpoint ont observé que Bumblebee abandonnait des charges utiles, notamment Cobalt Strike, shellcode, Sliver et Meterpreter, et ont évalué avec une grande confiance que le chargeur Bumblebee pouvait être utilisé pour diffuser un ransomware ultérieur. Bumblebee a été utilisé par plusieurs acteurs de la menace cybercriminelle, y compris les courtiers d’accès initiaux, et a été une charge utile privilégiée depuis sa première apparition en mars 2022 jusqu’en octobre 2023 avant de disparaître, mais il est réapparu en février 2024.
  • SmokeLoader était principalement utilisé comme téléchargeur pour installer des logiciels malveillants supplémentaires sur les systèmes infectés. ZATAZ avait repéré une location de cet outil pour 399$ comme le montre notre capture écran, ci-dessous.

  • IcedID (aussi connu sous le nom de BokBot), initialement classé comme un cheval de Troie bancaire, avait été développé pour servir d’autres cybercrimes en plus du vol de données financières.
  • Pikabot est un cheval de Troie utilisé pour obtenir un accès initial aux ordinateurs infectés, ce qui permet le déploiement de ransomwares, la prise de contrôle à distance de l’ordinateur et le vol de données.

Ces deux derniers codes malveillants ont été exploités par les pirates cachés derrière le ransomware  BlackBasta, ReVIL (jugé en ce moment en Russie) ou encore CONTI. Un autre groupe de rançonneur, 8Base a utilisé, en 2023, une version modifiée de SmokeLoader.

« Les amis du petit déjeuner » ukrainiens avaient fait appels à leur GIGN local.

Commandement et coordination à Europol

Europol a facilité l’échange d’informations et a fourni un soutien analytique, de traçage de cryptomonnaies et médico-légal à l’enquête. Pour soutenir la coordination de l’opération, Europol a organisé plus de 50 appels de coordination avec tous les pays ainsi qu’un sprint opérationnel à son siège. Plus de 20 officiers de police du Danemark, de France, d’Allemagne et des États-Unis ont soutenu la coordination des actions opérationnelles depuis le poste de commandement à Europol, et des centaines d’autres officiers des différents pays ont été impliqués dans les actions. Un poste de commandement virtuel a également permis une coordination en temps réel entre les officiers arméniens, français, portugais et ukrainiens déployés sur le terrain pendant les activités. En France, la Gendarmerie nationale, la Police nationale, le bureau du Procureur public JUNALCO (Juridiction nationale contre la criminalité organisée) et la police judiciaire de Paris (Préfecture De Police de Paris) ont participé à l’opération.

Un site web « End Game » a été mis en place. Un peu comme ce fût le cas avec le groupe de pirates informatiques Lockbit, l’opération « End Game » a été « hollywoodisé ». Un site qui menace, très clairement, les instigateurs et utilisateurs de ces droppers. Gros budget : des vidéos et teasing pour de future révélation.

« Bienvenue dans La Fin du jeu. affiche le site web des autoritésLes forces de l’ordre internationales et leurs partenaires ont uni leurs forces. Nous enquêtons sur vous et vos activités criminelles depuis longtemps et nous ne nous arrêterons pas là. Il s’agit de la saison 1 de l’opération Endgame. Restez à l’écoute. Ce sera certainement passionnant. Mais peut-être pas pour tout le monde. Certains résultats peuvent être trouvés ici, d’autres vous parviendront de manière différente et inattendue. N’hésitez pas à nous contacter, vous pourriez avoir besoin de nous. Nous pourrions certainement tous les deux bénéficier d’un dialogue ouvert. Vous ne seriez ni le premier ni le dernier. Pensez à (votre) prochain mouvement. » Les plus curieux s’amuseront des pseudonymes affichés dans certains clips.

Le 24 mai, l’un des pirates, proposait une promotion pour son produit. 600$ pour 1000 installations malveillantes. Jusqu’à 20 000 machines piégées par jour ! « Tout est simplifié, a pu lire ZATAZ. Vous ne payez que la configuration et obtenez vos – friandises. […] Vous n’avez même pas besoin de chercher quelqu’un qui chiffrera les fichiers« .

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.