Des cyberenquêteurs français ont démantelé un important réseau de hackers en Suisse et en Ukraine

Une douzaine de cybercriminels spécialisés dans l’exploitation de rançongiciels ont été arrêtés mardi dans le cadre d’une enquête internationale menée par la Sous-direction de la lutte contre la cybercriminalité de France (SDLC).

Leurs activités malveillantes ont touché 1 800 victimes dans 71 pays et leur impunité a pris fin mardi à l’aube lors d’un retentissant coup de filet baptisé opération 5e Élément. Après deux ans d’une minutieuse enquête sous l’égide d’Europol, une équipe internationale de 50 policiers - dont des experts de la police judiciaire - a procédé à l’arrestation coordonnée en Ukraine et en Suisse de 12 cybercriminels. Ils paralysaient et extorquaient leurs cibles grâce à de puissants « ransomwares », des logiciels malveillants qui viennent chiffrer, autrement dit rendre totalement illisibles, les données d’un ordinateur, d’un serveur ou d’un réseau d’une entreprise ou d’une collectivité locale, rapporte le Parisien.

L’enquête a débuté par le dépôt de plainte d’une grosse entreprise française attaquée début 2019 par le rançongiciel LockerGoga. Pilotées par l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), les investigations en ligne ont impliqué les limiers cyber de huit pays où les hackers avaient sévi : Pays-Bas, Norvège, Allemagne, Royaume-Uni et les États-Unis. Mais aussi les services de police ukrainiens et suisses afin de planifier les interpellations. Le Centre européen de lutte contre la cybercriminalité (EC3) a lui accueilli sept réunions de coordination à La Haye.

Considérés comme des « high value targets », des gros poissons du milieu cybercriminel, les individus interpellés faisaient partie d’un véritable gang organisé avec des rôles bien définis. Certains étaient chargés d’infiltrer les systèmes informatiques des cibles, principalement de grandes entreprises, grâce à tous les outils à la disposition des pirates informatiques : vols de mots de passe et identifiants, attaque par force brute ou campagne massive de « phishing ».

Après avoir obtenu un premier accès, les malandrins basés en Ukraine déployaient le malware Trickbot et mettaient en place des outils d’attaques furtives en profondeur comme Cobalt Strike. Ces spécialistes se déplaçaient ensuite en toute discrétion dans les réseaux de leurs victimes et restaient cachés, pendant plusieurs mois parfois, avant de déclencher le chiffrement des données et d’exiger le paiement d’une rançon en Bitcoin pour les déchiffrer ou éviter leur publication sur Internet.

D’autres cybercriminels établis en Suisse se chargeaient ensuite de blanchir les rançons en passant les Bitcoins extorqués par des services de mixage de cryptomonnaies qui compliquent leur traçabilité. Ils convertissaient ensuite cet argent virtuel en liquidités. Les policiers ont retrouvé 52 000 dollars et saisi plusieurs voitures de luxe. Ils ont également mis sous scellé des ordinateurs et autres appareils électroniques afin d’accumuler des preuves et d’exhumer d’autres pistes d’enquêtes. Le préjudice total est évalué à près de 100 millions d’euros.

eh