Après un premier volet en 2024, une seconde opération Endgame coordonnée par Europol et Eurojust dans 7 pays européens dont la France a débouché le démantèlement de l’infrastructure de la chaine d’attaque ransomware à laquelle appartiennent notamment Qakbot, Trickbot et WarmCookie. 300 serveurs et 650 noms de domaines ont été neutralisés.
En 2024, une opération internationale, baptisée Endgame et menée par Europol, a permis de casser la diffusion de droppers tels que IcedID, SystemBC, Pikabot, Smokeloader et Bumblebee via des botnets. Un an plus tard presque jour pour jour, un deuxième volet de cette opération s’est déroulé avec à la clé le démantèlement de l’infrastructure d’une kill chain sur laquelle reposent de très répandus et dangereux ransomwares. A savoir Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, et Warmcookie. « Les cybercriminels du monde entier ont subi une perturbation majeure après que les autorités policières et judiciaires, sous la coordination d’Europol et d’Eurojust, ont démantelé l’infrastructure clé derrière des logiciels malveillants utilisés pour lancer des attaques par ransomware », explique Europol.
Cette opération, qui s’est déroulée du 19 au 22 mai, a mis hors service 300 serveurs dans le monde, de neutraliser 650 domaines utilisés à des fins malveillantes et d’émettre 20 mandats d’arrêt internationaux. « L’opération s’est concentrée sur les logiciels malveillants d’accès initial, c’est-à-dire les outils utilisés par les cybercriminels pour s’infiltrer dans les systèmes sans se faire remarquer avant de déployer un ransomware », a précisé Europol. « En désactivant ces points d’entrée, les enquêteurs ont frappé au tout début de la chaîne de la cyberattaque, endommageant l’ensemble de l’écosystème de la cybercriminalité en tant que service. »
Briser la chaîne d’attaque à la source
Dans le cadre d’Endgame 2.0, les forces de police et de justice de 7 pays européens ont été impliquées : Canada, Danemark, Allemagne, Pays-Bas, Royaume-Uni, Etats-Unis et également la France avec la mobilisation de la Police et de la Gendarmerie Nationale, de l’unité de lutte contre la cybercriminalité de la Préfecture de Police de Paris, ainsi que la juridiction nationale de lutte contre la criminalité organisée (Junalco). « Cette nouvelle phase démontre la capacité des services répressifs à s’adapter et à frapper à nouveau, alors même que les cybercriminels se ré-outillent et se réorganisent. En perturbant les services sur lesquels les criminels s’appuient pour déployer des ransomwares, nous brisons la kill chain à sa source », a fait savoir Catherine De Bolle, directrice exécutive d’Europol.