Une opération mondiale conjointe ciblant des rançongiciels aboutit à des arrestations et au démantèlement d’un réseau criminel

8 novembre 2021
Un partenariat entre la police et le secteur privé a permis de mettre des auteurs d’attaques par rançongiciels derrière les barreaux

Singapour – Une opération menée quatre ans durant sur cinq continents a mis fin aux activités d’une bande organisée se livrant à la diffusion de rançongiciels et a eu pour résultat l’arrestation de sept personnes soupçonnées d’être responsables d’attaques mondiales par des logiciels malveillants.

Désignée par le nom de code Quicksand (ou GoldDust) et menée par 19 services chargés de l’application de la loi de 17 pays, cette opération transcontinentale a notamment consisté à recueillir et examiner des renseignements dans le but de dresser un tableau mondial des menaces que représentent les attaques par des familles de logiciels rançonneurs – en particulier GandCrab et REvil-Sodinokibi – et les personnes soupçonnées de les diffuser.

Le groupe criminel organisé qui utilisait ces logiciels malveillants est connu pour pirater les réseaux de sociétés et de particuliers au moyen de diverses techniques d’infiltration, puis y déployer un rançongiciel afin d’extorquer de l’argent à ses victimes. Le rançongiciel chiffre les fichiers, et les malfaiteurs soumettent ensuite les sociétés et les particuliers à un chantage dans le but d’obtenir le paiement d’énormes rançons.

Les individus arrêtés lors de l’opération Quicksand sont soupçonnés d’être à l’origine de dizaines de milliers d’infections par rançongiciel et d’avoir exigé pour plus de 200 millions d’EUR de rançons.

Des résultats tangibles : multiples arrestations dans le monde entier

Les renseignements échangés lors de l’opération ont permis d’obtenir les résultats suivants :

•    Les services coréens chargés de l’application de la loi ont arrêté trois suspects en février, avril et octobre ;

•    Les autorités koweïtiennes ont arrêté un homme qui aurait commis des attaques au moyen du rançongiciel GandCrab ;

•    Les autorités roumaines ont arrêté deux personnes soupçonnées d’avoir lancé des cyberattaques par rançongiciel, d’être responsables de 5 000 infections et d’avoir empoché des rançons d’un montant total d’un demi-million d’EUR ;

•    Un homme soupçonné d’être l’auteur de l’attaque par le rançongiciel Kaseya, qui aurait été menée en juillet dernier par le groupe de pirates REvil et aurait touché plus de 1 500 personnes et 1 000 sociétés dans le monde, a été arrêté.

« Les rançongiciels sont devenus une menace trop importante pour pouvoir être combattue par une seule entité ou un seul secteur. L’ampleur de ce défi exige sans plus attendre une action internationale concertée qu’INTERPOL, partenaire mondial neutre et de confiance, est particulièrement bien placé pour accompagner », a déclaré le Secrétaire Général d’INTERPOL, Jürgen Stock.

« Le travail de police doit exploiter les informations dont dispose le secteur de la cybersécurité pour identifier et combattre les cybermalfaiteurs dans le cadre d’une véritable coalition, dont les acteurs œuvrent de concert pour atténuer les effets de la cybercriminalité par rançongiciels dans le monde », a ajouté le Secrétaire Général.

Une coalition mondiale puissante

Menée conjointement par INTERPOL et Europol, l’opération Quicksand a été coordonnée à partir du Centre de fusionnement sur la cybercriminalité d’INTERPOL situé à Singapour, où les acteurs concernés ont partagé en direct des renseignements dans un environnement interactif et sécurisé, via le réseau mondial et les capacités d’INTERPOL.

Dans le cadre du projet Gateway d’INTERPOL, des partenaires privés de l’Organisation, notamment Trend Micro, CDI, Kaspersky Lab et Palo Alto Networks, ont également apporté leur concours aux enquêtes en partageant des informations et une expertise technique.

Ce projet vise à renforcer les partenariats entre les services chargés de l’application de la loi et le secteur privé dans le but de recueillir des données sur les menaces auprès de diverses sources et de permettre aux autorités de police de prévenir les attaques.

Bitdefender a soutenu les opérations en mettant à disposition des outils de déchiffrement personnalisés destinés à débloquer les rançongiciels et à permettre aux victimes de récupérer leurs fichiers. Grâce à ces outils innovants, plus de 1 400 sociétés ont pu déchiffrer leurs réseaux, évitant ainsi près de 475 millions d’EUR de pertes potentielles.

KPN, McAfee et S2W ont aidé les enquêtes en apportant à INTERPOL et à ses pays membres une expertise technique en matière de cybercriminalité et de logiciels malveillants.

L’opération Quicksand continue d’apporter des éléments de preuve qui viennent à l’appui de nouvelles enquêtes sur des actes de cybercriminalité et permettent à la communauté policière internationale de désorganiser de nombreux canaux utilisés par des cybermalfaiteurs pour blanchir des cybermonnaies et commettre des infractions au moyen de rançongiciels.

Étant donné que l’impact financier correspondant à l’ensemble des rançons extorquées au moyen de ces familles de rançongiciels se chiffrerait à des milliards de dollars soustraits à des milliers de victimes au niveau mondial, les partenaires privés et les pays membres d’INTERPOL collaborent afin d’apporter un soutien aux victimes de ce type d’attaques.

Une étude réalisée par Chainalysis a montré que les paiements liés aux rançongiciels avaient rapporté 350 millions d’USD aux malfaiteurs en 2020, soit une hausse de 311 % en un an. Selon Palo Alto Networks, durant la même période, le montant moyen des rançons versées a augmenté de 171 %.

Les pays suivants ont participé à l’opération : l’Allemagne, l’Australie, la Belgique, le Canada, la Corée du Sud, les États-Unis, la France, le Koweït, le Luxembourg, la Norvège, les Pays-Bas, les Philippines, la Pologne, la Roumanie, le Royaume-Uni, la Suède et la Suisse.

Voir aussi