Actualités

Une opération de police vise des pirates liés au rançongiciel Egregor

Un aperçu du site utilisé par Egregor pour diffuser les données de ses victimes.

S’agit-il de la fin d’une forme d’impunité pour les pirates aux rançongiciels ? Les services de sécurité ukrainiens (SBU), aidés d’enquêteurs français, ont appréhendé le 9 février plusieurs membres d’un groupe de cybercriminels soupçonnés d’avoir propagé Egregor, un rançongiciel. Il s’agit d’une souche différente de celle qui a successivement touché, ces derniers jours, les hôpitaux de Dax (Landes) et de Villefranche-sur-Saône (Rhône).

Egregor avait fait une entrée remarquée, en septembre 2020, dans le milieu des rançongiciels, ces programmes informatiques malveillants qui chiffrent les données (les rendant inaccessibles et paralysant parfois des entreprises entières), permettant aux malfaiteurs de réclamer une rançon. En quelques mois, il est devenu l’un des plus virulents d’entre eux, dans un contexte d’une menace d’attaques par rançongiciels en pleine explosion.

Lire aussi Attaques aux rançongiciels : la déferlante

Le domicile des suspects a été perquisitionné et du matériel informatique a été saisi, ont annoncé la sous-direction de lutte contre la cybercriminalité (SDLC) de la police nationale et le parquet de Paris, mercredi 17 février. Le SBU a diffusé, sur Twitter, des images du coup de filet, sur lesquelles on voit des agents en treillis, gilets pare-balles et arborant des armes automatiques.

Le FBI a également participé à l’enquête. Les éléments recueillis vont désormais être analysés par la cyberpolice française, la police fédérale américaine et les experts ukrainiens pour confirmer l’implication des suspects dans les cyberattaques menées via Egregor.

Plusieurs victimes françaises

L’enquête est partie de France, où ce rançongiciel a fait, ces dernières semaines, de nombreuses victimes. L’entreprise spécialisée Group-IB en avait décompté sept rien qu’entre septembre et novembre. Une partie seulement des identités des victimes sont rendues publiques : c’est notamment le cas du quotidien Ouest France, du poids lourd de la logistique Gefco ou du géant du jeu vidéo Ubisoft. Dans le cas de ce dernier, le code informatique de l’un de ses jeux phares avait été diffusé. Selon le SBU, plus de 150 entreprises auraient été compromises par cette souche de rançongiciel, causant plus de 66 millions de dollars de dégâts.

Cette arrestation aura-t-elle un impact déterminant sur les activités de ce rançongiciel ? « Les Ukrainiens ont circonscrit l’équipe à l’origine d’Egregor. Leur infrastructure a été en grande partie démantelée », se félicite Catherine Chambon qui dirige la SDLC. Les autorités françaises jugent qu’il s’agit d’« un coup d’arrêt » pour Egregor.

Le profil exact des personnes arrêtées est encore flou à ce stade

L’effet à long terme de cette opération policière dépendra du profil exact des personnes arrêtées, encore flou à ce stade. Egregor fonctionnait sur le modèle du ransomware as a service, qui fait florès depuis plusieurs mois : ses concepteurs contractaient avec d’autres pirates informatiques, appelés « affiliés », spécialisés dans la pénétration et l’infection des réseaux informatiques, afin que ces derniers déposent le rançongiciel et l’activent au sein du réseau de la victime. Les deux parties se partageaient ensuite la somme obtenue. Les suspects appréhendés ne semblent pas être les développeurs mais plutôt des affiliés, des « ouvreurs de porte », selon Catherine Chambon. La manière dont vont réagir les développeurs d’Egregor à ce coup de filet – vont-ils se faire discrets ou au contraire chercher à démarcher de nouveaux affiliés – reste en suspens.

Lire notre enquête sur le business du « ransomware » : Comment les cybercriminels revendent leurs lucratifs rançongiciels

Le groupe publiait les données des victimes réticentes à payer

Le fonctionnement d’Egregor est représentatif de la manière dont se déroulent aujourd’hui les attaques par rançongiciel. Après avoir exploré en profondeur le réseau informatique de leur victime, les pirates utilisant ce programme malveillant exfiltraient les données qu’ils jugeaient les plus sensibles avant de faire détonner le rançongiciel de manière à occasionner un maximum de dégâts. Egregor fait partie des rançongiciels réclamant des rançons extrêmement élevées, parfois supérieures à 3,3 millions d’euros.

Si la victime refusait de payer, les pirates menaçaient de publier ses données sur leur site Internet. Ces dernières semaines, ce site a d’ailleurs connu d’importantes périodes d’instabilité. Ce mercredi soir, il est désormais inaccessible – c’est le dernier des sites opérés par le groupe qui était encore récemment en ligne.

De nombreux experts estimaient que le rançongiciel Egregor était issu d’une autre souche, appelée Maze, qui a causé de faramineux dégâts tout au long de l’année 2020 avant d’annoncer l’arrêt de ses activités. Les concepteurs d’Egregor et de Maze pourraient en fait être un seul et même groupe, et certains affiliés travaillant avec Maze ont pu également collaborer avec Egregor. Une proximité que confirment les éléments techniques en possession de la police française et qui a permis à l’enquête de déboucher quelques mois seulement après l’apparition d’Egregor.

Lire aussi : Ce que l’on sait sur les auteurs et gangs de rançongiciels

Ce coup de filet intervient quelques semaines seulement après le démantèlement, en Ukraine, d’Emotet, un réseau d’ordinateurs infectés utilisés par des pirates pour lancer des attaques, notamment de rançongiciels. Catherine Chambon « espère » que ces deux opérations auront des effets plus larges sur l’écosystème du rançongiciel. « Un des objectifs, c’est de dire “vous n’êtes pas complètement à l’abri et vous n’êtes pas protégés. Les pays coopèrent, sont en train de s’armer pour contrecarrer vos nuisances” ». La chef des policiers spécialisés se veut cependant prudente : « Les équipes peuvent se reconstituer ».

Click to comment

You must be logged in to post a comment Login

Leave a Reply

Most Popular

Retrouvez toute l'actualité française et internationale sur France Actus.

© 2020 FRANCE ACTUS - TOUS DROITS RÉSERVÉS

To Top