Coopération internationale pour un démantèlement de poids
L’union fait la force. Une enquête internationale a récemment permis le démantèlement d’un botnet connu sous le nom de Gameover Zeus et la saisie des serveurs utilisés par le ransomware baptisé CryptoLocker.
Déjà un suspect arrêté. Découvert en septembre 2011, Gameover Zeus (variante de Zeus) a été conçu pour dérober des identifiants bancaires et autres données d’authentification depuis les postes qu’il infecte. De premières estimations laissent entendre que 500 000 à 1 million d’ordinateurs auraient été infectés (dont 25 % aux Etats-Unis). Le FBI estime que Gameover Zeus aurait causé plus de 75 millions d’euros de pertes.
Diffusé grâce à Gameover Zeus, le ransomware CryptoLocker, pour sa part, chiffre des fichiers présents sur les postes pour ensuite réclamer une rançon aux utilisateurs pour les déchiffrer (700 dollars et plus). En avril dernier, CryptoLocker avait déjà infecté plus de 234 000 ordinateurs (50 % aux Etats-Unis selon le DoJ). Une première estimation indique que plus de 27 millions de dollars auraient été versés au titre de ces rançons dans les deux mois qui ont suivi l’émergence de ce ransomware.
Une dizaine de pays (Etats-Unis, Canada, France, Italie, Japon, Luxembourg, Allemagne, Nouvelle Zélande, Pays-Bas, Ukraine et Royaume-Uni) et de nombreux experts du secteur privé (Dell, Microsoft, Symantec, McAfee, etc.) se sont mobilisés. Fruit d’une coopération internationale fructueuse, l’opération menée fin mai sous la direction du FBI s’est par exemple appuyée sur l’EC3 d’Europol
Notre Analyse : Une belle victoire, mais déjà d’autres menaces
Le succès de ce démantèlement semble prometteur et illustre à nouveau l’intérêt de coopérations internationales pour lutter contre les réseaux organisés. Il n’en demeure pas moins que d’autres ransomware (Cryptodefense, Cryptowall, etc.) représentent toujours des risques. Les règles habituelles de vigilance s’appliquent pour éviter ces malware le plus souvent véhiculés à grand renfort de campagne de spamming.
Du fixe au mobile. Par ailleurs, la forte progression des supports mobiles pousse toujours les fraudeurs à repenser leur ciblage. Selon Gartner, d’ici 2017, 75 % des incidents sur mobile risquent d’avoir pour origine des défauts de configurations applicatifs.
Enfin, Kaspersky a récemment mis au jour une variante de Svpeng qui verrouille les supports Android et affiche un faux avertissement usurpant l’image du FBI. Ce Trojan se « contentait » d’abord de dérober les identifiant bancaires des utilisateurs russes jusqu’à ce qu’une mise à jour y ajoute un ransomware. Désormais, des utilisateurs américains, britanniques, suisses, allemands ou bien encore indiens sont également pris pour cibles.