Soutenu par la Russie depuis le début de la guerre en Ukraine, le groupe de cybercriminels NoName057(16) a multiplié les attaques par déni de service contre des entreprises, des institutions publiques et plusieurs pays. Une opération menée par Europol, Eurojust, et l’ENISA ayant impliqué 19 pays dont la France a permis de désactiver plus de 100 serveurs et déboucher sur une dizaine d’arrestations.
Fin de partie pour le cybergang russe NoNameO57(16). Entre le 14 et le 17 juillet 2025, une opération internationale conjointe – baptisée Eastwood – coordonnée par Europol, Eurojust, et l’ENISA, a porté un coup dur au réseau cybercriminel. Les autorités policières et judiciaires de la République tchèque, de la France (Gendarmerie Nationale et JUNALCO), de la Finlande, de l’Allemagne, de l’Italie, de la Lituanie, de la Pologne, de l’Espagne, de la Suède, de la Suisse, des Pays-Bas et des États-Unis ont participé à cette opération, avec le soutien également de la Belgique, du Canada, du Danemark, de l’Estonie, de la Lettonie, de la Roumanie, et de l’Ukraine. Les sociétés privées ShadowServer et Abuse.ch ont aussi contribué sur le volet technique de l’opération.
« Les actions qui ont été menées par les forces de justice et de police ont perturbé l’infrastructure d’attaque de NoName057(16) composée de plus d’une centaine de systèmes informatiques dans le monde entier, tandis qu’une grande partie de l’infrastructure centrale des serveurs du groupe a été mise hors ligne », indique Europol. Selon l’agence, le groupe a pu construire son propre botnet composé de plusieurs centaines de serveurs, utilisés pour augmenter la charge de ses attaques. Dans le cadre de cette opération 2 arrestations, 7 mandats d’arrêt et 24 perquisitions ont été réalisés et plus de 100 serveurs de cette organisation perturbés, sachant qu’une grande partie de l’infrastructure principale de NoName057(16) a été mise hors ligne.
Usines d’armement, fournisseurs d’électricité et banques parmi les victimes
Les enquêtes menées ont permis d’identifier NoName057(16) comme un réseau criminel idéologique lié à de nombreuses cyberattaques par déni de service distribué (DDoS). Entre 2023 et 2024, cet opérateur a notamment mené 14 attaques en Allemagne ayant affecté 230 entreprises incluant des usines d’armement et des fournisseurs d’électricité. « En Suède, les sites web des autorités et des banques ont été visés, tandis qu’en Suisse, de multiples attaques ont été menées lors d’un message vidéo adressé par le président ukrainien au Parlement commun en juin 2023, et lors du Sommet de la paix pour l’Ukraine en juin 2024. Plus récemment, les Pays-Bas ont été visés lors du sommet de l’OTAN à la fin du mois de juin », fait savoir Eurojust.