Une opération de police à laquelle ont collaboré pas moins de huit pays a permis d’arrêter un total de 12 individus, dont les attaques de rançongiciels, ou ransomware, contre d’importantes infrastructures avaient fait des ravages dans le monde entier.
On estime que ces attaques ont touché plus de 1800 victimes dans 71 pays. Ces cybercriminels sont connus pour cibler spécifiquement les grandes entreprises, ce qui leur permet d’optimiser plus facilement les profits de leurs activités.
Les arrestations ont eu lieu fin octobre en Ukraine et en Suisse. La plupart de ces suspects étaient considérés comme des cibles de haute importance car ils faisaient l’objet d’enquêtes parallèles dans plusieurs affaires à forte visibilité et relevant de différentes juridictions.
L’action de la police a entraîné la saisie de plus de 52 000 USD en espèces et 5 véhicules de luxe. Des experts en informatique examinent actuellement divers appareils électroniques à la recherche de preuves et de nouvelles pistes à suivre.
Dans ces organisations criminelles très structurées, chaque suspect avait un rôle différent. Certains de ces criminels avaient recours à de nombreuses méthodes d’exploitation des vulnérabilités des réseaux : diverses attaques, des injections SQL, le vol d’informations d’identification, ou encore des e-mails de phishing contenant des pièces jointes infectées par des logiciels malveillants.
Une fois sur le réseau, ils cherchaient à gagner plus d’accès à des fins criminelles tout en évitant d’être détectés, par le déploiement de logiciels malveillants tels que Trickbot, ou de cadres de post-exploitation tels que Cobalt Strike ou PowerShell Empire.
Ils infiltraient ensuite les système compromis, plusieurs mois pouvant s’écouler sans qu’ils ne soient détectés, et recherchaient d’autres faiblesses sur les réseaux, avant de monnayer l’infection par la mise en œuvre d’un rançongiciel. Ces criminels sont connus pour avoir déployé les ransomware LockerGoga, MegaCortex et Dharma, entre autres.
Les criminels avaient eu le temps d’explorer les réseaux informatiques en passant inaperçus, c’est pourquoi les attaques de rançongiciels ont eu des effets dévastateurs. Ils ont ensuite présenté une demande de rançon à la victime, exigeant un paiement en bitcoins en échange de clés de décryptage.
On soupçonne que plusieurs des individus arrêtés étaient responsables du blanchiment des rançons versées et qu’ils acheminaient ces rançons en bitcoins par l’intermédiaire de divers services, avant de toucher les profits illicites.
_____
Aquest apunt en català / Esta entrada en español / This post in English