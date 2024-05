Lecture Zen Résumer l'article

L’opération Endgame, menée par les services de police de plusieurs pays, a permis de fermer plusieurs serveurs et réseaux de botnet. Parmi les structures visées, on retrouve des réseaux de « droppers », des outils particulièrement importants pour l’infiltration de ransomwares.

Il s’agit de « la plus grande opération jamais menée contre des botnets ». Europol a annoncé le 30 mai 2024 avoir coordonné, entre le 27 et le 29 mai 2024, l’opération Endgame, qui a permis l’arrestation de 4 personnes, et le démantèlement d’une centaine de serveurs en Europe et à travers le monde. L’opération, lancée et menée par la France, l’Allemagne et les Pays-Bas, « n’est pas finie », indique Europol, qui précise que « de nouvelles actions seront annoncées » prochainement.

Plus que ces actions, ce sont les infrastructures visées par l’opération qui sont particulièrement importantes. Endgame a permis de faire passer 2 000 noms de domaine sous le contrôle des forces de l’ordre, et surtout d’interrompre le fonctionnement de réseaux de bots et de « droppers », deux des outils les plus importants pour les cybercriminels souhaitant mettre en place des ransomwares.

L’opération Endgame a visé des réseaux de botnet et des droppers // Source : Opération Endgame

Les droppers, des rouages essentiels dans la cybercriminalité

Plus spécifiquement, Endgame a ciblé les réseaux de droppers IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot. Si ces noms ne vous disent rien, il s’agit cependant d’outils cruciaux pour les cybercriminels. En effet, un dropper, parfois aussi appelé injecteur, est un « type spécifique de logiciel malveillant », précise le Parquet de Paris, qui a participé à l’opération avec l’ANSSI. Un dropper est « conçu pour être une porte d’entrée à d’autres [logiciels] sur un système cible, notamment par courriel, servant ainsi de point de départ pour des attaques plus complexes. »

Concrètement, les droppers sont utilisés lors des premières phases des cyberattaques, et sont déployés en tant que pièces jointes dans des mails, ou sur des sites internet louches. Ils peuvent même « être intégrés à des logiciels légitimes », souligne Europol. Une fois que les droppers ont infiltré les systèmes ciblés, ils peuvent contourner les systèmes de sécurité et installer les ransomwares, à l’insu de la victime. Si « les droppers en eux-mêmes ne causent généralement pas de dommages directs », ils restent des programmes particulièrement dangereux.

« En France, les attaques permises par ces outils, centralisées à la section de lutte contre la cybercriminalité du Parquet de Paris, se comptent par centaines et sont commises au préjudice de sociétés privées, de particuliers, d’administrations publiques y compris d’hôpitaux », précise le Parquet.

