BREAKING NEWS

Opération Endgame : Une frappe mondiale contre les botnets et la cybercriminalité

Posted On 30 Mai 2024
By :
Comment: 0
Tag: , , , ,

Entre le 27 et le 29 mai 2024, l’opération Endgame a ciblé des « droppers », des outils pirates. Ces actions ont visé à perturber les services criminels en arrêtant des hackers malveillants importants et en démantelant les infrastructures criminelles. L’un des pirates aurait gagné plus de 69 millions de dollars.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Cette approche a eu un impact mondial sur l’écosystème des droppers, des outils malveillants qui permettent, entre autre, de télécharger des codes pirates (rançongiciel, Etc.). Les infrastructures de malware, démantelées pendant ces journées d’action, facilitaient les attaques par ransomware et autres logiciels malveillants. À la suite de ces actions, huit fugitifs liés à ces activités criminelles, recherchés par l’Allemagne, seront ajoutés à la liste des personnes les plus recherchées d’Europe le 30 mai 2024. Ces individus sont recherchés pour leur implication dans des activités de cybercriminalité grave.

Cette opération est la plus grande jamais menée contre les botnets, qui jouent un rôle majeur dans le déploiement de ransomwares. L’opération, initiée et dirigée par la France, l’Allemagne et les Pays-Bas, a également été soutenue par Eurojust et a impliqué le Danemark, le Royaume-Uni et les États-Unis. De plus, l’Arménie, la Bulgarie, la Lituanie, le Portugal, la Roumanie, la Suisse et l’Ukraine ont également soutenu l’opération par diverses actions telles que des arrestations, des interrogatoires de suspects, des perquisitions et des saisies ou des démantèlements de serveurs et de domaines. L’opération a également été soutenue par plusieurs partenaires privés.

La police française était présente, en Ukraine, lors de l’opération « End Game ».

Les actions coordonnées ont conduit à :

  • 4 arrestations (1 en Arménie et 3 en Ukraine)
  • 16 perquisitions (1 en Arménie, 1 aux Pays-Bas, 3 au Portugal et 11 en Ukraine)
  • Plus de 100 serveurs démantelés ou perturbés en Bulgarie, au Canada, en Allemagne, en Lituanie, aux Pays-Bas, en Roumanie, en Suisse, au Royaume-Uni, aux États-Unis et en Ukraine
  • Plus de 2 000 domaines sous le contrôle des forces de l’ordre

En outre, les enquêtes ont révélé qu’un des principaux suspects a gagné au moins 69 millions d’euros en cryptomonnaie en louant des infrastructures criminelles pour déployer des ransomwares. Les transactions de ce suspect sont constamment surveillées et une autorisation légale de saisie de ces actifs a déjà été obtenue.

ZATAZ avait croisé certains des pirates impliqués sur des forums Russes, dès 2020. [site traduit]

Qu’est-ce qu’un dropper et comment fonctionne-t-il ?

Les droppers sont un type de logiciel malveillant conçu pour installer d’autres malwares sur un système cible. Ils sont utilisés lors de la première phase d’une attaque de malware, permettant aux criminels de contourner les mesures de sécurité et de déployer des programmes nuisibles supplémentaires, tels que des virus, des ransomwares ou des logiciels espions. Les droppers eux-mêmes ne causent généralement pas de dommages directs, mais ils sont cruciaux pour accéder et implanter des logiciels malveillants sur les systèmes affectés. ZATAZ vous explique comment fonctionne un dropper.

  1. Infiltration : Les droppers peuvent entrer dans les systèmes par divers canaux, tels que les pièces jointes d’e-mails, les sites web compromis, ou en étant associés à des logiciels légitimes.
  2. Exécution : Une fois exécuté, le dropper installe le malware supplémentaire sur l’ordinateur de la victime. Cette installation se fait souvent à l’insu de l’utilisateur.
  3. Évasion : Les droppers sont conçus pour éviter la détection par les logiciels de sécurité. Ils peuvent utiliser des méthodes telles que l’obfuscation de leur code, l’exécution en mémoire sans écriture sur le disque, ou l’usurpation de processus de logiciels légitimes.
  4. Livraison de la charge utile : Après avoir déployé le malware supplémentaire, le dropper peut soit rester inactif, soit se supprimer pour éviter la détection, laissant la charge utile accomplir les activités malveillantes prévues.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Les malwares ciblés par l’opération

  • SystemBC facilitait la communication anonyme entre un système infecté et des serveurs de commande et de contrôle.

L’un des pirates attrapé par l’OP ENDGAME, et son business.

  • Bumblebee, distribué principalement via des campagnes de phishing ou des sites web compromis, était conçu pour permettre la livraison et l’exécution de charges utiles supplémentaires sur les systèmes compromis. Bumblebee est un téléchargeur sophistiqué observé pour la première fois en mars 2022. L’objectif de Bumblebee est de télécharger et d’exécuter des charges utiles supplémentaires. Les chercheurs de Proofpoint ont observé que Bumblebee abandonnait des charges utiles, notamment Cobalt Strike, shellcode, Sliver et Meterpreter, et ont évalué avec une grande confiance que le chargeur Bumblebee pouvait être utilisé pour diffuser un ransomware ultérieur. Bumblebee a été utilisé par plusieurs acteurs de la menace cybercriminelle, y compris les courtiers d’accès initiaux, et a été une charge utile privilégiée depuis sa première apparition en mars 2022 jusqu’en octobre 2023 avant de disparaître, mais il est réapparu en février 2024.
  • SmokeLoader était principalement utilisé comme téléchargeur pour installer des logiciels malveillants supplémentaires sur les systèmes infectés. ZATAZ avait repéré une location de cet outil pour 399$ comme le montre notre capture écran, ci-dessous.

  • IcedID (aussi connu sous le nom de BokBot), initialement classé comme un cheval de Troie bancaire, avait été développé pour servir d’autres cybercrimes en plus du vol de données financières.
  • Pikabot est un cheval de Troie utilisé pour obtenir un accès initial aux ordinateurs infectés, ce qui permet le déploiement de ransomwares, la prise de contrôle à distance de l’ordinateur et le vol de données.

Ces deux derniers codes malveillants ont été exploités par les pirates cachés derrière le ransomware  BlackBasta, ReVIL (jugé en ce moment en Russie) ou encore CONTI. Un autre groupe de rançonneur, 8Base a utilisé, en 2023, une version modifiée de SmokeLoader.

« Les amis du petit déjeuner » ukrainiens avaient fait appels à leur GIGN local.

Commandement et coordination à Europol

Europol a facilité l’échange d’informations et a fourni un soutien analytique, de traçage de cryptomonnaies et médico-légal à l’enquête. Pour soutenir la coordination de l’opération, Europol a organisé plus de 50 appels de coordination avec tous les pays ainsi qu’un sprint opérationnel à son siège. Plus de 20 officiers de police du Danemark, de France, d’Allemagne et des États-Unis ont soutenu la coordination des actions opérationnelles depuis le poste de commandement à Europol, et des centaines d’autres officiers des différents pays ont été impliqués dans les actions. Un poste de commandement virtuel a également permis une coordination en temps réel entre les officiers arméniens, français, portugais et ukrainiens déployés sur le terrain pendant les activités. En France, la Gendarmerie nationale, la Police nationale, le bureau du Procureur public JUNALCO (Juridiction nationale contre la criminalité organisée) et la police judiciaire de Paris (Préfecture De Police de Paris) ont participé à l’opération.

Un site web « End Game » a été mis en place. Un peu comme ce fût le cas avec le groupe de pirates informatiques Lockbit, l’opération « End Game » a été « hollywoodisé ». Un site qui menace, très clairement, les instigateurs et utilisateurs de ces droppers. Gros budget : des vidéos et teasing pour de future révélation.

« Bienvenue dans La Fin du jeu. affiche le site web des autoritésLes forces de l’ordre internationales et leurs partenaires ont uni leurs forces. Nous enquêtons sur vous et vos activités criminelles depuis longtemps et nous ne nous arrêterons pas là. Il s’agit de la saison 1 de l’opération Endgame. Restez à l’écoute. Ce sera certainement passionnant. Mais peut-être pas pour tout le monde. Certains résultats peuvent être trouvés ici, d’autres vous parviendront de manière différente et inattendue. N’hésitez pas à nous contacter, vous pourriez avoir besoin de nous. Nous pourrions certainement tous les deux bénéficier d’un dialogue ouvert. Vous ne seriez ni le premier ni le dernier. Pensez à (votre) prochain mouvement. » Les plus curieux s’amuseront des pseudonymes affichés dans certains clips.

Le 24 mai, l’un des pirates, proposait une promotion pour son produit. 600$ pour 1000 installations malveillantes. Jusqu’à 20 000 machines piégées par jour ! « Tout est simplifié, a pu lire ZATAZ. Vous ne payez que la configuration et obtenez vos – friandises. […] Vous n’avez même pas besoin de chercher quelqu’un qui chiffrera les fichiers« .

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

Transmettre vos fichiers sécurisés à ZATAZ IS Decisions Logo Guardia CS, école de cybersécurité à Paris, Lyon et Bordeaux
Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique

Publicité

Partenaires de ZATAZ

Oteria Cyber School Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

juillet 2024
L M M J V S D
1234567
891011121314
15161718192021
22232425262728
293031  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

210 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

147 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon