Cybercriminalité : la saison 2 de l’opération Endgame bat son plein

« Il s’agit de la plus grande opération jamais menée contre les réseaux de zombies, qui jouent un rôle majeur dans le déploiement des ransomwares », annonçait Europol dans un communiqué de presse publié le jeudi 30 mai 2024 au matin.

Baptisée Endgame, cette opération avait été conduite entre le 27 et le 29 mai. Elle avait été « initiée et dirigée par la France, l’Allemagne et les Pays-Bas », « soutenue par Eurojust et a impliqué le Danemark, le Royaume-Uni et les États-Unis ».

En outre, « l’Arménie, la Bulgarie, la Lituanie, le Portugal, la Roumanie, la Suisse et l’Ukraine ont également soutenu l’opération par différentes actions telles que des arrestations, des interrogatoires de suspects, des perquisitions et des saisies ou des déclassements de serveurs et de domaines », pouvait-on lire alors dans le communiqué.

Cette opération revêtait une importance toute particulière : elle visait des botnets dont l’activité est très fortement liée aux cyberattaques débouchant sur le déclenchement de rançongiciels. Étaient alors cités IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot.

Le mercredi 9 avril 2025, Europol levait le voile sur la seconde phase de l’opération, survenue en « début d’année. Cette fois-ci, des clients du botnet Smokeloader étaient visés ». Mais c’était loin d’être fini.

Le 23 mai, Europol a ainsi indiqué que les autorités venaient, entre le 19 et le 22 mai, de « faire tomber quelque 300 serveurs dans le monde entier, neutraliser 650 noms de domaine, et émettre des mandats d’arrestation internationaux contre 20 cibles ». En outre, 3,5 millions d’euros en cryptoactifs ont été saisis.

Cette fois-ci, l’opération a touché Bumblebee, qui avait rebondi, Lactrodectus, Qakbot, qui avait lui aussi rebondi après un premier coup en 2023, Hijackloader, DanaBot, Trickbot, et Warmcookie. Dans la foulée, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié ses notes de synthèse sur l’ensemble de ces maliciels d’accès initial.

De son côté, le ministère américain de la Justice a dévoilé les actes d’accusation visant seize individus accusés d’avoir développé et déployé DanaDot, « infectant plus de 300 000 ordinateurs dans le monde entier, facilitant fraude et ransomware, et ayant causé au moins 50 millions de dollars de dommages ».

Parmi ceux-ci, en particulier, on compte Aleksandr Stepanov, dit « JimmBee », et Artem Aleksandrovich Kalinki, dit « Onix », originaires de Novossibirsk, qui ont chacun eu droit à leur vidéo personnelle sur le site de l’opération Endgame. Cela vaut également pour Rustam Rafailevich Gallaymov, originaire de Moscou, accusé d’avoir dirigé le groupe à l’origine du développement et du déploiement de Qakbot.

L’une de ces vidéos contient une référence à l’un des leaders de Conti, aux côtés de Stern, Mango. C’est vers lui que se tournaient, chaque mois, les « réguliers » du gang, pour obtenir leur « salaire », 500 ou 750 $ en bitcoins sur une adresse précisée par message.