Europol, en collaboration avec Eurojust, a démantelé plus de 1 025 serveurs utilisés par trois familles de logiciels malveillants : le voleur d’informations Rhadamanthys, VenomRAT et les opérations du botnet Elysium.
Cette mission s'inscrit dans la dernière phase de l'opération Endgame, une activité qui se déroule du 10 au 13 novembre et qui vise à démanteler les infrastructures criminelles et à lutter contre les facilitateurs de ransomware dans le monde entier.
Dans un communiqué, Europol a déclaré: « L'infrastructure de logiciels malveillants démantelée était composée de centaines de milliers d'ordinateurs infectés contenant plusieurs millions d'identifiants volésdent»
Cette action conjointe, coordonnée par Europol et Eurojust, a également bénéficié du soutien de plusieurs partenaires privés, dont Cryptolaemus, Shadowserver, Spycloud, Cymru, Proofpoint, CrowdStrike, Lumen, Abuse.ch, HaveIBeenPwned, Spamhaus, DIVD et Bitdefender.
Le principal suspect d'Europol derrière Venom RAT
D'après Europol, de nombreuses victimes ignoraient être infectées. Cela a mis en lumière la nature sournoise de ces menaces. Les voleurs d'informations collectent discrètement les identifiants de connexion, tandis que les RAT (Remote Access Trojans) comme VenomRAT permettent un contrôle à distance à des fins d'espionnage ou de déploiement de rançongiciels, et les botnets comme Elysium amplifient les attaques par déni de service distribué (DDoS) et les campagnes de spam.
L'opération conjointe a ciblé l'infrastructure des ransomwares, le site AVCheck, les clients du botnet Smokeloader et leurs serveurs. Elle a également perturbé les opérations de grands réseaux de logiciels malveillants, tels que DanaBot, IcedID, Pikabot, Trickbot, Smokeloader, Bumblebee et SystemBC.
Outre l'élimination des trois principaux facilitateurs de cybercriminalité, les autorités ont également arrêté le principal suspect à l'origine du RAT Venom en Grèce le 3 novembre. De plus, plus de 1 025 serveurs ont été mis hors service et 20 noms de domaine ont été saisis.
Le voleur d'informations avait accès à 100 000 portefeuilles de cryptomonnaies
L'annonce d'aujourd'hui confirme le démantèlement des opérations du logiciel espion Rhadamanthys, les clients de ce service de logiciels malveillants déclarant ne plus avoir accès à leurs serveurs.
Cette situation fait suite à la promotion par Rhadamanthys de deux outils sur son site web, Elysium Proxy Bot et Crypt Service. Le principal logiciel de vol d'informations a été mis à jour et permet désormais, entre autres, de collecter les empreintes numériques des appareils et des navigateurs web.
Rhadamanthys est devenu l'un des logiciels malveillants les plus connus pour escroquer les utilisateurs, disponible en tant que service (MaaS). Il a été initialement promu par un acteur malveillant du nom de kingcrete2022. La version 0.9.2 est la plus récente.
Au fil du temps, les compétences des pirates ont évolué au point qu'ils peuvent désormais accomplir bien plus que le simple vol de données. Ils représentent une menace sérieuse pour la sécurité des particuliers et des entreprises. Recorded Future a révélé que la version 0.7.0 du logiciel malveillant intégrait un nouvel outil d'intelligence artificielle (IA) de reconnaissance optique de caractères (OCR) capable de capturer les phrases de récupération des portefeuilles de cryptomonnaies.
Cependant, il n'est toujours pas clair si le botnet Elysium auquel Europol fait référence est le même service de botnet proxy que RHAD security (également connu sous le nom de Mythical Origin Labs), l'acteur de la menace associé à Rhadamanthys, qui a été observé en train de faire de la publicité jusqu'au mois dernier.
Europol a également révélé que le principal suspect à l'origine du vol de données avait accès à pas moins de 100 000 portefeuilles de cryptomonnaies appartenant à des victimes. Cela pourrait représenter potentiellement des millions d'euros.
Les autorités ayant participé à cette opération comprenaient des services de police d'Australie, du Canada, du Danemark, de France, d'Allemagne, de Grèce, de Lituanie, des Pays-Bas et des États-Unis.
Dans le même temps, le ministère américain de la Justice (DOJ), le FBI et les services secrets ont créé un nouveau groupe de travail inter-agences pour lutter contre les arnaques aux cryptomonnaies ciblant les Américains.
Selon Cryptopolitan l' Cryptopolitanorigine de ces opérations opèrent souvent depuis des complexes situés en Asie du Sud-Est. Les travailleurs sur ces sites sont majoritairement victimes de trafic d'êtres humains, retenus contre leur gré, maltraités et gardés par des groupes armés.
La procureure américaine Jeanine Ferris Pirro a déclaré : « Les estimations, en raison de la sous-déclaration, pourraient être jusqu'à 15 fois supérieures à 9 milliards de dollars, et cela commence avec les appareils que vous et moi utilisons chaque jour pour effectuer nos opérations bancaires, enrichir nos vies, communiquer avec nos amis et nos proches. »
