Blog Cyberjustice – Le deuxième volet de l'opération Endgame d'Europol
Actualité

Blog Cyberjustice – Le deuxième volet de l'opération Endgame d'Europol

artia13 4 Views

Le mercredi 9 avril 2025, près d’un an après le début de l’opération Endgame, Europol a annoncé le démantèlement de serveurs contenant plusieurs virus exploités par des hackers, permettant, ainsi, diverses arrestations d’individus ayant des activités spécialisées dans le ransomware. En effet, cette opération est considérée comme « la plus grande opération jamais menée contre les réseaux zombies, qui jouent un rôle majeur dans le déploiement de ransomware». Ainsi, ce deuxième volet tend à cibler des clients acheteurs de malwares, ici, le Smokeloader, actif depuis 2011, étant un code malveillant modulaire, permettant d’effectuer «des actions de reconnaissance sur la machine de la victime et d’y installer des codes ou accès persistants».

 

Qui est Europol ?

Europol, ou l’office européen de police, est l’agence de l’Union européenne pour la coopération des services répressifs. Ainsi, au regard de l’article 88 TFUE, Europol facilite l’échange de renseignements et la collaboration entre polices nationales au sein de l’Union européenne, permettant de renforcer l’action et la prévention contre la criminalité grave affectant plusieurs États membres. L’opération a mobilisé en tout sept pays dont la France, le Danemark, ainsi que les Etats-Unis et le Canada.

 

Que sont des malwares ?

Un malware est un logiciel malveillant qui nuit à un ordinateur, ou un réseau. Ainsi, les virus se dupliquent et se répandent lorsque l’utilisateur exploite le fichier infecté. Le ver, quant à lui, se propage plus rapidement,  sans intervention humaine, en exploitant les failles du réseau. 

Par conséquent, le ransomware est un type de malware qui chiffre des fichiers sur un ordinateur rendant les données inaccessibles tant qu’une rançon n’a pas été payée. Lorsqu’il s’agit d’une attaque type cheval de Troie, des logiciels en apparence légitime trompent les utilisateurs qui installent ces derniers étant, en réalité, nuisibles. Ainsi, l’ordinateur « zombie » est infecté par un code malveillant qui effectue des actions dictées à distance par le hacker, sans consentement de l’utilisateur.

Il s’agit d’un piratage informatique, soit le fait de s’introduire sans autorisation dans une ressource comme un serveur, si l’on croit l’article 5 de la Convention de Budapest. Alors, au regard de l’article 323-1 du Code Pénal, issu de la loi n°88-19 du 5 janvier 1988 dite la loi Godfrain, il y’a une prise de contrôle de la ressource considérée, permettant un accès et un maintien frauduleux aux fins de dérober, détruire ou modifier des informations par des «Black hats », soit des hackers malveillants. Ainsi, si l’on croit l’article 323-2 du Code Pénal, les hackers détectent et exploitent les vulnérabilités du matériel informatique pour modifier les systèmes ou logiciels d’information aux fins de les exploiter dans un but différent de celui prévu par les paramètres initiaux.  

 

Qu’est ce que l’opération « Endgame » ?

Dévoilée en mai dernier, cette opération initiale visait des malwares « compte-gouttes », étant indispensables pour la première étape de l’attaque, permettant, ainsi, de contourner les mesures de sécurité de l’ordinateur. 

  • La première étape se nomme l’infiltration : les gouttes s’immiscent au sein des systèmes par différents canaux comme des logiciels légitimes.
  • La deuxième étape permet une exécution où le dropper vient installer le logiciel malveillant sur l’ordinateur de la victime à son insu et/ou sans son consentement.
  • Par l’évasion, l’architecture des gouttes permet d’éviter la détection d’un antivirus en se faisant passer pour des processus logiciels légitimes.
  • Ainsi, la livraison de la charge utile permet au dropper de rester inactif ou de se retirer aux fins d’échapper à la détection, permettant à la charge utile de procéder aux activités malveillantes.

Ce ne sont pas les droppers qui causent généralement des dommages directs, mais ces derniers permettent un accès et une mise en œuvre des maliciels sur les systèmes, aux fins de déployer des rançongiciels, considérés comme « la principale menace dans la chaîne d’infection ». Alors, cette opération internationale a eu « un impact mondial sur l’écosystème des droppers », comme l’a souligné Europol.

 

En quoi consiste le deuxième volet de l’opération ?

Cette nouvelle lutte cible ici la clientèle du réseau « Smokeloader », soit un service « pay-per-install », étant un outil utilisé par les pirates aux fins d’installer les malwares sur les ordinateurs des victimes. Ce dernier permet, notamment, d’accéder aux webcams, d’enregistrer les frappes de clavier, ou encore le minage de cryptomonnaies ou le déploiement de rançonslogiciels. Le Smokeloader est un virus type loader, très apprécié par les hackers pour sa discrétion, car il est en capacité d’installer et de télécharger les malwares à l’insu de tout antivirus. Alors, ces derniers achetaient les malwares et les revendaient avec une majoration. 

Cette opération a été possible par « l’examen des preuves numériques stockées sur leurs appareils personnels » via l’exploitation de la base de données des clients saisie lors de l’opération Endgame de 2024. Ainsi, cette dernière a permis d’utiliser les pseudonymes pour remonter jusqu’à l’identité des pirates qui se sont servis du virus. A titre d’exemple, Europol a identifié des clients du botnet payant Smokeloader exploité par « Superstar », qui vendait des accès à des machines malveillantes, permettant d’installer des programmes enregistrant les frappes de clavier des victimes.

Ainsi, Europol fait de la lutte contre les malwares à des fins criminelles une priorité, en ciblant directement leur clientèle, permettant d’obtenir des informations pour d’autres enquêtes, et ce, aux fins de contrer de nouvelles cyberattaques.

 

BENYAHIA Nadia, Master 2 Droit, parcours Cyberjustice, promotion 2024/2025.

 

Sources :

https://www.clubic.com/actualite-561420-europol-demasque-les-acheteurs-de-malwares-dans-une-operation-anti-cybercriminalite-sans-precedent.html

https://www.lemagit.fr/actualites/366621946/Cyberattaques-debut-de-la-saison-2-de-loperation-Endgame

https://www.01net.com/actualites/police-annonce-plus-grande-operation-jamais-realisee-contre-malwares.html

https://www.zdnet.fr/actualites/la-saison-2-dendgame-est-lancee-coup-dur-imminent-pour-les-cybercriminels-411744.htm

https://www.europol.europa.eu/media-press/newsroom/news/largest-ever-operation-against-botnets-hits-dropper-malware-ecosystem

Auteur :

Aller à la source

artia13

Depuis 1998, je poursuis une introspection constante qui m’a conduit à analyser les mécanismes de l’information, de la manipulation et du pouvoir symbolique. Mon engagement est clair : défendre la vérité, outiller les citoyens, et sécuriser les espaces numériques. Spécialiste en analyse des médias, en enquêtes sensibles et en cybersécurité, je mets mes compétences au service de projets éducatifs et sociaux, via l’association Artia13. On me décrit comme quelqu’un de méthodique, engagé, intuitif et lucide. Je crois profondément qu’une société informée est une société plus libre.

artia13 has 2886 posts and counting. See all posts by artia13

Vous Aimerez Peut-être Aussi

TR08 T&S Trust in Marketplaces at the time of convergrence with social media

TR08 T&S Trust in Marketplaces at the time of convergrence with social media

artia13
La clé USB : pourquoi est-elle toujours un outil essentiel pour la sécurité des données ?

La clé USB : pourquoi est-elle toujours un outil essentiel pour la sécurité des données ?

artia13
(TR04) (INCYBER) Intelligence artificielle : la course à la régulation

(TR04) (INCYBER) Intelligence artificielle : la course à la régulation

artia13