Le code malveillant Dridex perturbé dans son attaque de mardi

Les autorités américaine et Européenne ont fait équipe avec des entreprises privées pour perturber les activités du botnet Dridex qui s’est attaqué au web, mardi.

Nous vous révélions en exclusivité, mardi 12 octobre au matin, d’une attaque de taille XXL de courriers électroniques malveillants. Derrière cette malveillance massive, la tentative de pirates à infiltrer les ordinateurs de leurs victimes avec le code Dridex, le successeur du cheval de Troie connu sous le nom Cridex, Feodo et Bugat. Selon les autorités, la plupart des victimes semblent être aux États-Unis et au Royaume-Uni, avec des pertes causées par le botnet estimées par les autorités à 10 millions de dollars aux États-Unis, 30 millions $ dans le Royaume-Uni. Bref, une paille à l’échelle mondiale.

Le botnet Dridex est partitionné en plusieurs sous-réseaux de zombies et utilise un réseau peer-to-peer (P2P) pour les communications, ce qui, normalement, devait rendre cette menace plus résistante aux tentatives de blocages. Cependant, l’attaque de mardi a pu être contrée car le réseau Dridex utilisé est un hybride entre un système centralisé et un réseau décentralisé. Les fichiers étaient distribués de manière centralisé par les serveurs principaux. Cela a permis de perturber fortement le réseau P2P de chaque sous-botnet Dridex, et de réorienter les systèmes infectés dans un trou vide.

A se demander si cette « attaque » n’était pas aussi un gros coup de pub pour l’Oncle Sam, ou un baroud d’honneur des amis de l’auteur de Dridex. Comme par magie, le FBI indiquait, pendant l’attaque, que l’administrateur du botnet Dridex, Andrey Ghinkul, un moldave de 30 ans, avait été arrêté à Chypre. « Andrei Ghincul », connu aussi sous l’autre pseudo de « Smilex », a été arrêté le 28 Août dernier, lors de l’opération Tovar. Les autorités espèrent obtenir l’extradition du pirate présumé vers les États-Unis. Il a été inculpé pour neuf chefs d’accusations, dont piratage, accès non autorisés à des ordinateurs, ou encore fraude bancaire.

L’opération de mardi visant le botnet Dridex a été menée par le FBI en collaboration avec le centre européen sur la cybercriminalité (EC3) et Europol Royaume-Uni, l’Allemagne et la Moldavie. Du côté des organisations privées : Fox-IT, S21sec, Abuse.ch, Spamhaus, la Fondation Shadowserver et Trend Micro.