Cyberattaques : l’opération Endgame frappe aux prémisses

Europol vient de lever le voile sur une importante opération judiciaire internationale baptisée Endgame. Elle se concentre sur les toutes premières étapes de nombreuses cyberattaques débouchant sur le déclenchement de rançongiciels.

« Il s’agit de la plus grande opération jamais menée contre les réseaux de zombies, qui jouent un rôle majeur dans le déploiement des ransomwares », annonce Europol dans un communiqué de presse publié ce jeudi 30 mai au matin.

Baptisée Endgame, cette opération a été conduite entre le 27 et le 29 mai, apprend-on. Elle a été « initiée et dirigée par la France, l’Allemagne et les Pays-Bas », « soutenue par Eurojust et a impliqué le Danemark, le Royaume-Uni et les États-Unis ».

En outre, « l’Arménie, la Bulgarie, la Lituanie, le Portugal, la Roumanie, la Suisse et l’Ukraine ont également soutenu l’opération par différentes actions, telles que des arrestations, des interrogatoires de suspects, des perquisitions et des saisies ou des déclassements de serveurs et de domaines », peut-on lire dans le communiqué.

Au cœur des activités cybercriminelles

Cette opération est d’une importance toute particulière : elle vise des botnets dont l’activité est très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels. Sont ici cités IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot.

« Il s’agit de la plus grande opération jamais menée contre les réseaux de zombies, qui jouent un rôle majeur dans le déploiement des ransomwares. »
EuropolCommuniqué de presse

Trickbot est historiquement connu pour son rôle dans les activités du groupe Conti, qui a disparu peu après l’invasion de l’Ukraine par la Russie, début 2022, tandis que ses membres poursuivaient leurs opérations sous d’autres enseignes.

BumbleBee a pris la suite de BazarLoader, dans l’arsenal de Conti, au printemps 2022. Le ransomware Quantum a été publiquement associé à BumbleBee, mais le groupe Royal pourrait également l’utiliser en amont de ses cyberattaques avec rançongiciel. Tous deux sont des émanations de feu Conti.

Apparu début 2023, Pikabot est un logiciel malveillant associé à la nébuleuse Conti, et en particulier à Black Basta. Ses modes de distribution ont varié au fil du temps, du malvertising au « malspam ».

Fin janvier 2021, Europol annonçait avoir porté un coup majeur à Emotet. Mais IcedID s’affirmait alors de plus en plus comme la relève attendue.

SystemBC ? Il a été observé chez Egis, début 2022. SmokeLoader ? À l’automne dernier, Le CERT Renater a d’ailleurs rapporté le cas de deux incidents impliquant au moins un loader et s’étant soldés par le déclenchement du ransomware Stop/Djvu : « les traces d’infection […] ont permis de confirmer que l’utilisateur a bien téléchargé un premier Loader (peut-être PrivateLoader ou SmokeLoader) qui a ensuite permis de télécharger une panoplie de malwares incluant Amadey, Raccoon, RisePro Stealer, Stealc… Ils ont permis d’exfiltrer de nombreux documents et de nombreuses données d’identification ».

Le fruit d’importants efforts de surveillance

Dans un échange avec la rédaction, Nicolas Caproni, head of Sekoia.io TDR Team, dont les équipes de Threat Detection and Research (TDR) ont contribué à l’opération Endgame, rappelle que « les botnets jouent un rôle central et crucial dans l’écosystème du cybercrime. Ils offrent aux cybercriminels une infrastructure très résiliente pour mener un large éventail d’activités malveillantes. Ils fonctionnent comme des facilitateurs pour distribuer des campagnes de phishing et différentes familles de malware. Ils vont permettre à des cybercriminels d’obtenir des accès initiaux dans les réseaux des entreprises qui vont permettre d’autres attaques comme évidemment les opérations de ransomware (ou d’extorsion plus globalement), mais aussi d’espionnage ».

Nicolas Caproni explique que les équipes de TDR ont pour mission « prioritaire de monitorer l’émergence de nouveaux botnets et de traquer ceux qui sont actifs ». Plus précisément, « nous traquons les serveurs de C2 de ces botnets et des malwares associés pour permettre de détecter le plus en amont possible de potentielles compromissions chez nos clients ». 

Cette surveillance, relève-t-il, est « indispensable pour lutter contre la menace ransomware, en s’intéressant aux étapes les plus en amont des cyberattaques ».

Ce n’est toutefois pas tout : « on s’attache aussi à travailler sur la détection des chaînes d’infection de ces botnets », car ils « distribuent des codes malveillants généralement via du phishing utilisant des chaînes d’infection complexes et très variées (ISO / LNK, HTML Smuggling…), pour rendre plus compliquée leur détection et contourner les mesures de sécurité des passerelles de messagerie ou des antivirus ou encore des EDR ».

Une première phase

Concrètement, l’opération Endgame a déjà conduit à « 4 arrestations (1 en Arménie et 3 en Ukraine), 16 fouilles de lieux (1 en Arménie, 1 aux Pays-Bas, 3 au Portugal et 11 en Ukraine) », mais aussi à l’arrêt ou la perturbation de « plus de 100 serveurs […] en Bulgarie, au Canada, en Allemagne, en Lituanie, aux Pays-Bas, en Roumanie, en Suisse, au Royaume-Uni, aux États-Unis et en Ukraine », et la saisie de « plus de 2 000 domaines ».

Huit fugitifs recherchés par les autorités allemandes ont été ajoutés à la liste des personnes les plus activement recherchées en Europe. Et l’opération Endgame n’en est qu’à sa première phase. C’est d’autant plus justifié que certaines infrastructures SystemBC sont toujours actives, comme le soulignent les alertes publiques de certains chercheurs. Les années passées ont en outre montré la résilience dont sont capables les cybercriminels.

Pour approfondir sur Menaces, Ransomwares, DDoS