SÉOUL (Corée) – Une enquête et une opération transcontinentales menées pendant trente mois ont abouti à des arrestations et à la publication de notices rouges concernant des personnes soupçonnées de contrôler un réseau mondial commettant des cyberinfractions au moyen de logiciels malveillants.
Deux notices rouges – des avis de recherche internationaux – ont été diffusées aux 194 pays membres d’INTERPOL après que la Division coréenne des enquêtes sur la cybercriminalité en a transmis la demande via le Bureau central national INTERPOL de la Corée situé à Séoul.
Ces notices font suite à l’arrestation en Ukraine de six membres d’un groupe de pirates informatiques connu pour diffuser des rançongiciels, lors d’une opération mondiale coordonnée par INTERPOL et réalisée en collaboration avec les autorités chargées de l’application de la loi de la Corée, des États-Unis et de l’Ukraine, en juin dernier.
Cette offensive mondiale – dont le nom de code est « opération Cyclone » – a été lancée à la suite d’enquêtes de police menées dans le monde entier sur les attaques dirigées contre des sociétés coréennes et des établissements universitaires aux États-Unis par le groupe de cybermalfaiteurs diffusant le rançongiciel Cl0p.
Opérant depuis l’Ukraine, les pirates utilisant ce logiciel malveillant auraient ciblé des particuliers et des entreprises en Corée et aux États-Unis en bloquant l’accès aux fichiers de leurs ordinateurs et à leurs réseaux, puis leur auraient extorqué une rançon pour restaurer cet accès.
Les suspects auraient facilité le transfert et l’encaissement d’actifs pour le compte du groupe de cyberrançonneurs, et ils auraient par ailleurs menacé de rendre publiques des données sensibles si de nouvelles sommes d’argent n’étaient pas versées.
Une opération fondée sur le renseignement
L’opération Cyclone a été coordonnée à partir du Centre de fusionnement sur la cybercriminalité d’INTERPOL situé à Singapour, où les acteurs concernés ont partagé des renseignements dans un environnement interactif et sécurisé, via le réseau mondial et les capacités d’INTERPOL.
Les renseignements ainsi obtenus ont permis à la police ukrainienne d’effectuer plus de 20 perquisitions et fouilles aux domiciles des suspects ainsi que dans des entreprises et des véhicules, de confisquer des biens et des ordinateurs et de saisir 185 000 USD en espèces, mais aussi de procéder à six arrestations.
« Malgré la montée en flèche du nombre d’attaques par rançongiciel au niveau international, cette collaboration entre la police et le secteur privé a abouti à l’une des premières arrestations au monde de membres de réseaux de cybermalfaiteurs par les services chargés de l’application de la loi, ce qui constitue une ferme mise en garde adressée aux auteurs de ces attaques : peu importe où ils se cachent dans le cyberespace, nous les poursuivrons sans relâche », a déclaré le Directeur de la Cybercriminalité d’INTERPOL, M. Craig Jones.
INTERPOL a organisé l’opération Cyclone en s’appuyant sur des informations communiquées par ses partenaires privés, à savoir Trend Micro, CDI, Kaspersky Lab, Palo Alto Networks, Fortinet et Group-IB, via le projet Gateway de l’Organisation.
Ce projet vise à renforcer les partenariats entre les services chargés de l’application de la loi et le secteur privé dans le but de recueillir des données sur les menaces auprès de diverses sources et de permettre aux autorités de police de prévenir les attaques.
Comme autre illustration de la puissance de la coopération avec le secteur privé dans le cadre des enquêtes sur des actes de cybercriminalité, on notera que deux sociétés coréennes spécialisées dans la lutte contre les cybermenaces – S2W LAB et KFSI – ont également fourni à INTERPOL des données et des analyses très utiles sur le dark Web tout au long de l’opération.
L’opération Cyclone continue d’apporter des éléments de preuve qui viennent à l’appui de nouvelles enquêtes sur des cyberinfractions et permettent à la communauté policière internationale de désorganiser de nombreux canaux utilisés par des cybermalfaiteurs pour blanchir des cybermonnaies.
Une menace importante pour la sécurité
On pense que les six suspects sont étroitement liés à un groupe de cybermalfaiteurs russophone connu pour « mettre au pilori » (name and shame, en anglais) ses victimes en faisant fuiter ses données sur un site Tor, et pour avoir transféré plus de 500 millions d’USD de fonds liés à de nombreuses activités impliquant l’utilisation de rançongiciels.
Leurs attaques ciblent des infrastructures essentielles dans les secteurs des transports et de la logistique, de l’éducation, de la production industrielle, de l’énergie, de la finance, de l’aéronautique, des télécommunications, des soins de santé et des hautes technologies, au niveau mondial.
S’ils sont reconnus coupables, les six suspects encourent une peine pouvant aller jusqu’à huit ans de prison.
Pays concernés
 .png){kind=small}
Actualités associées
Disrupting a Grandoreiro malware operation
18 mars 2024
