Les forces de l’ordre d’Allemagne et d’Ukraine ont ciblé des membres présumés du noyau dur d’un groupe de cybercriminalité qui a été à l’origine d’attaques à grande échelle utilisant le rançongiciel DoppelPaymer.
L’opération, qui a eu lieu le 28 février 2023, a été menée avec le soutien de la police nationale néerlandaise (Politie) et du Federal Bureau of Investigation (FBI) américain, selon Europol.
Cela comprenait un raid au domicile d’un ressortissant allemand ainsi que des perquisitions dans les villes ukrainiennes de Kiev et de Kharkiv. Un ressortissant ukrainien a également été interrogé. Les deux individus auraient occupé des postes cruciaux au sein du groupe DoppelPaymer.
« L’analyse médico-légale du matériel saisi est toujours en cours pour déterminer le rôle exact des suspects et leurs liens avec d’autres complices », a ajouté l’agence. a dit.
DoppelPaymer, selon la société de cybersécurité CrowdStrike, est apparu en avril 2019 et partage la majeure partie de son code avec une autre souche de ransomware connue sous le nom de BitPaymer, qui est attribuée à un groupe prolifique basé en Russie appelé Indrik Spider (Evil Corp).
Le logiciel malveillant de cryptage de fichiers présente également des chevauchements tactiques avec le tristement célèbre Logiciel malveillant Dridexun cheval de Troie bancaire axé sur Windows qui a étendu ses fonctionnalités pour inclure des capacités de vol d’informations et de botnet.
« Cependant, il existe un certain nombre de différences entre DoppelPaymer et BitPaymer, ce qui peut signifier qu’un ou plusieurs membres d’Indrik Spider se sont séparés du groupe et ont forké le code source de Dridex et de BitPaymer pour démarrer leur propre opération de rançongiciel Big Game Hunting, « CrowdStrike a dit.
Indrik Spider, pour sa part, a été créé en 2014 par d’anciens affiliés du réseau criminel GameOver Zeus, un botnet peer-to-peer (P2P) et successeur du cheval de Troie bancaire Zeus.
Découvrez les dernières tactiques d’évasion et stratégies de prévention des logiciels malveillants
Prêt à briser les 9 mythes les plus dangereux sur les attaques basées sur des fichiers ? Rejoignez notre prochain webinaire et devenez un héros dans la lutte contre les infections du patient zéro et les événements de sécurité du jour zéro !
Cependant, le contrôle accru des forces de l’ordre sur ses opérations a incité le groupe à changer de tactique, en introduisant des ransomwares comme moyen d’extorquer les victimes et de générer des profits illégaux.
« Les attaques DoppelPaymer ont été activées par le prolifique malware Emotet », a déclaré Europol. « Le ransomware a été distribué via divers canaux, y compris des e-mails de phishing et de spam avec des pièces jointes contenant du code malveillant – JavaScript ou VBScript. »
On estime que les acteurs derrière le stratagème criminel ont ciblé au moins 37 entreprises en Allemagne, les victimes aux États-Unis ayant payé pas moins de 40 millions d’euros entre mai 2019 et mars 2021.
