Les forces de l’ordre du monde entier, coordonnées par Europol, ont démantelé trois opérations majeures de cybercriminalité lors d’une récente opération de répression baptisée « Opération Endgame ». Les cibles comprenaient le voleur d’informations Rhadamanthys, le botnet Elysium et le cheval de Troie d’accès à distance VenomRAT, tous des acteurs clés de la cybercriminalité internationale. Plus de 1 000 serveurs ont été saisis au cours de l’opération et l’un des principaux suspects derrière VenomRAT a été arrêté en Grèce le 3 novembre.
L’opération met en lumière une réalité cruciale : le démantèlement des infrastructures de cybercriminalité est une bataille continue, souvent décrite comme un scénario de « coup sur une taupe ». Une fois qu’une menace est neutralisée, une autre émerge rapidement pour prendre sa place.
Les cibles : que faisaient-elles ?
Rhadamanthys est un voleur d’informations conçu pour extraire des données sensibles des appareils infectés, notamment des mots de passe et des clés de portefeuille de crypto-monnaie. Le malware a pris de l’importance après le retrait de Lumma, un autre voleur d’informations populaire, début 2023. En octobre, Rhadamanthys avait compromis plus de 12 000 victimes, ce qui en fait l’un des logiciels malveillants de vol d’informations les plus répandus en circulation. Le suspect derrière Rhadamanthys avait accès à plus de 100 000 portefeuilles cryptographiques, valant potentiellement des millions d’euros.
Elysium fonctionnait comme un botnet, un réseau d’ordinateurs compromis contrôlés à distance par des attaquants. Les botnets sont utilisés pour diverses activités malveillantes, notamment les attaques par déni de service distribué (DDoS) et les campagnes de spam.
VenomRAT est un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants de prendre le contrôle total des systèmes infectés. Les RAT sont souvent utilisés à des fins d’espionnage, de vol de données et de déploiement de logiciels malveillants supplémentaires.
Le cycle de l’adaptation
La montée en puissance de Rhadamanthys après le démantèlement de Lumma illustre une tendance clé de la cybercriminalité : les criminels s’adaptent rapidement. Lorsqu’un outil est neutralisé, un autre émerge, souvent moins connu au début, pour combler le vide. C’est pourquoi les forces de l’ordre et les sociétés de cybersécurité qualifient la lutte d’interminable.
Rhadamanthys s’est d’abord propagé via des publicités Google malveillantes avant de gagner du terrain sur les forums clandestins. L’augmentation spectaculaire du nombre de victimes du malware après le retrait de Lumma souligne avec quelle facilité les criminels peuvent se tourner vers de nouveaux outils.
La réalité “Whack-a-Mole”
Ryan English, chercheur chez Black Lotus Labs, explique qu’il s’agit d’un défi fondamental en matière de cybercriminalité. “Nous savons que d’autres prendront leur place, alors nous continuons à suivre pour voir qui en sort”, a-t-il déclaré. L’industrie ne peut neutraliser les menaces qu’à mesure qu’elles émergent, mais le problème sous-jacent demeure : les criminels trouveront toujours de nouveaux moyens d’exploiter les vulnérabilités.
Le démantèlement de ces opérations constitue une victoire significative pour les forces de l’ordre, mais il ne résout pas le problème dans son ensemble. Le paysage des menaces est en constante évolution et de nouvelles souches de logiciels malveillants apparaîtront inévitablement pour remplacer celles qui ont été supprimées.
Pourquoi c’est important
Le cycle actuel de retraits et de réémergences met en évidence la nécessité d’une approche plus proactive en matière de cybersécurité. Il ne suffit pas de simplement perturber les menaces existantes ; les organisations et les individus doivent donner la priorité à la prévention, à l’éducation et à des pratiques de sécurité solides. La lutte contre la cybercriminalité ne consiste pas seulement à arrêter les criminels ; il s’agit en premier lieu de réduire leurs chances de réussite.
Le fait que Rhadamanthys ait rapidement comblé le vide laissé par Lumma montre que les perturbations techniques ne suffiront pas à gagner la guerre. Le problème sous-jacent des mauvaises pratiques de sécurité, des attaques de phishing et des vulnérabilités non corrigées demeure.
En fin de compte, la lutte contre la cybercriminalité est un marathon et non un sprint. Les forces de l’ordre et le secteur de la cybersécurité doivent continuer à s’adapter et à innover, mais les individus et les organisations doivent également assumer la responsabilité de leur propre sécurité.
