Dans le cadre d'une opération des forces de l'ordre et de justice qui a impliqué huit pays, Europol a annoncé l'arrestation d'une douzaine de personnes en Ukraine et en Suisse. Elles sont suspectées d'appartenir à un groupe cybercriminel ayant organisé des attaques par ransomware.

" Certains de ces criminels s'occupaient de l'effort de pénétration, en utilisant de multiples mécanismes pour compromettre les réseaux informatiques, notamment des attaques par force brute, des injections SQL, des identifiants volés et des emails de phishing avec des pièces jointes malveillantes ", écrit l'agence européenne de police.

Une fois à l'intérieur d'un réseau, une analyse de l'infrastructure compromise pouvait durer plusieurs mois en quête de vulnérabilités et pour se déplacer en toute discrétion, en déployant des outils comme Cobalt Strike et PowerShell Empire afin d'obtenir des accès supplémentaires.

Ransomware en tant que service

Le groupe est connu pour avoir déployé les ransomwares LockerGoga, MegaCortex et Dharma avec des demandes de rançons en bitcoins pour récupérer des clés de déchiffrement. Il serait un affilié de plusieurs plateformes de ransomware as a service.

ransomware

Selon Europol, les attaques aurait touché plus de 1 800 victimes dans 71 pays. L'affaire la plus notable est la cyberattaque par ransomware contre Norks Hydro. En mars 2019, les activités de ce géant norvégien de la production d'aluminium avaient été perturbées à la suite d'une infection par LockerGoga.

Grâce à des sauvegardes de données, Norks Hydro n'avait pas payé de rançon. Toutefois, le coût de la cyberattaque - avec la baisse de production - a été évalué à plusieurs dizaines de millions d'euros. LockerGoga avait également frappé l'entreprise française d'ingénierie Altran (désormais Capgemini Engineering).