Une opération coordonnée des forces de l’ordre a conduit à l’arrestation d’individus clés en Ukraine qui feraient partie de plusieurs programmes de ransomware.
« Le 21 novembre, 30 propriétés ont été perquisitionnées dans les régions de Kiev, Tcherkassy, Rivne et Vinnytsia, ce qui a abouti à l’arrestation du meneur de 32 ans », a indiqué Europol. dit dans un communiqué aujourd’hui. « Quatre des complices les plus actifs du meneur ont également été arrêtés. »
Le développement survient plus de deux ans après que 12 personnes ont été appréhendées dans le cadre de la même opération. Les individus sont principalement liés aux familles de ransomwares LockerGoga, MegaCortex et Dharma.
On estime que les suspects ont ciblé plus de 1 800 victimes dans 71 pays depuis 2019. Ils ont également été accusés d’avoir déployé le ransomware Hive, aujourd’hui disparu, contre des organisations de grande envergure.
Certains des co-conspirateurs seraient impliqués dans la pénétration des réseaux informatiques en orchestrant des attaques par force brute, des injections SQL et en envoyant des e-mails de phishing contenant des pièces jointes malveillantes afin de voler des noms d’utilisateur et des mots de passe.
Après une compromission réussie, les attaquants se sont déplacés furtivement au sein des réseaux, tout en supprimant des logiciels malveillants supplémentaires et des outils de post-exploitation tels que TrickBot, Cobalt Strike et PowerShell Empire pour finalement supprimer le logiciel malveillant de cryptage de fichiers.
Les autres membres du réseau cybercriminel sont soupçonnés d’être chargés du blanchiment des paiements en cryptomonnaies effectués par les victimes pour décrypter leurs fichiers.
« L’enquête a déterminé que les auteurs ont chiffré plus de 250 serveurs appartenant à de grandes entreprises, entraînant des pertes dépassant plusieurs centaines de millions d’euros », a indiqué Europol.
L’effort de collaboration a impliqué les autorités de France, d’Allemagne, des Pays-Bas, de Norvège, de Suisse, d’Ukraine et des États-Unis.
La divulgation intervient moins de deux semaines après Europol et Eurojust annoncé le démonter d’un gang prolifique de phishing vocal mené par les polices tchèque et ukrainienne, qui aurait engrangé des millions de profits illégaux en incitant les victimes à transférer des fonds de leurs comptes bancaires « compromis » vers des comptes bancaires « sûrs » sous leur contrôle.
Cela arrive également un mois après qu’Europol a révélé que les autorités policières et judiciaires de onze pays ont démantelé l’infrastructure associée au ransomware Ragnar Locker et arrêté une « cible clé » en France.