En arrêtant des membres du bras armé d'Egregor, la police porte un coup dur à une des principales organisations cybercriminelle.

Décidément, 2021 démarre mal pour les cybercriminels. D’après les informations de France Inter du 12 février, la police française a participé à l’arrestation de plusieurs cybercriminels en Ukraine. Plus précisément, c’est l’Office central de lutte contre la cybercriminalité, une division de la police judiciaire spécialisée sur le sujet, qui a mené tout un pan de l’enquête. Le parquet cyber (J3) du Tribunal de grande instance de Paris avait reçu de nombreux dépôts de plainte et signalements.

Les suspects arrêtés seraient des partenaires du gang Egregor : des hackers, mais aussi des individus chargés de fonctions support nécessaires à toute activité cybercriminelle organisée (logistique, comptabilité…). Les forces de l’ordre auraient identifié les malfrats en remontant la circulation du paiement des rançons sur la blockchain du bitcoin.

Coup dur pour un des plus gros développeurs de rançongiciel

La police n’a pas frappé le gang à sa racine, mais elle a porté un grand coup à sa chaîne de production. Egregor, comme la majorité de ses concurrents, a un modèle économique de « Ransomware-as-a-service ». Concrètement, il ne fait que développer le rançongiciel qui servira à chiffrer les réseaux informatiques des victimes et à ainsi paralyser leurs activités. En revanche, il sous-traite l’attaque et la demande de rançon à des partenaires, triés sur le volet. Si une victime paie la rançon — le butin moyen d’Egregor serait de 700 000 dollars d’après ZDNet — le développeur prend une commission, comprise entre 20 et 40 % du montant, puis laisse le reste de la somme à son associé.

Au tour d’Egregor d’être touché par la police. // Source : Louise Audry pour Numerama

Arrêter les partenaires revient donc à couper le bras armé du gang, et par conséquent son activité. Mais ce ne serait que temporaire : le bras armé peut être remplacé par un autre, même si Egregor pourrait rencontrer certaines difficultés. Interrogé par Cisco, un opérateur de rançongiciel expliquait que les hackers de haut niveau ne sont pas si nombreux qu’ils le paraissent. Les remplaçants des hackers arrêtés pourraient être bien moins efficaces que leurs prédécesseurs, ce qui diminuerait les gains de l’organisation.

Des serveurs d’Egregor sont tombés

Ensuite, Egregor va se confronter à une crise de confiance : pourquoi travailler pour lui quand d’autres gangs proposent un rançongiciel presque aussi efficace avec une répartition des gains similaires, mais dont les partenaires n’ont jamais été identifiés ? En novembre 2020, le gang Revil (aussi connu sous le nom Sodinokibi), un des principaux concurrents d’Egregor, affirmait qu’il avait identifié deux membres d’Egregor grâce à une taupe au sein de l’organisation. Si les informations n’avaient pas été confirmées à l’époque, elles avaient tout de même été communiquées aux forces de l’ordre. Et ce genre d’incident pourrait faire douter d’éventuels nouveaux partenaires.

Preuve du succès de l’opération policière ou étrange hasard, l’entreprise Recorded Future a fait remarquer à ZDNet que plusieurs serveurs appartenant à Egregor ne sont plus en ligne depuis le vendredi 12 février. Parmi eux, le site sur lequel le gang menace de publier les données des victimes qui ne paient pas, et l’infrastructure de contrôle et commande qui sert à déployer le rançongiciel. Ces disparitions sont inhabituelles. D’un côté, lorsque la police saisit un site, elle affiche généralement un message pour dire qu’elle est à l’origine de la mise hors ligne. De l’autre, Egregor semble trop développée en tant qu’organisation pour perdre son infrastructure à cause d’un oubli ou d’une erreur humaine.

Les forces de l’ordre réussissent un nouveau coup

C’est déjà la troisième opération d’importance réussie par les forces de l’ordre en ce début d’année 2021. Europol a déjà orchestré le démantèlement d’une grande partie de l’infrastructure d’Emotet, un acteur clé du secteur, qui fournissait en masse des accès aux réseaux des victimes, dans lesquels les rançongiciels pouvaient s’engouffrer. Ensuite, c’était au tour du gang Netwalker de subir une vague d’arrestation et de saisies.

Cette fois, la police est parvenue à toucher une des trois plus grosses organisations mondiales. Apparue fin 2020, Egregor ne serait en réalité qu’un prolongement de Maze, une organisation cybercriminelle retraitée qui a révolutionné les pratiques entre 2018 et 2019. C’est donc une excellente nouvelle : les forces de l’ordre parviennent enfin à ralentir le développement extrêmement rapide des gangs, qui gagnent en puissance à un rythme effrayant.

L’officialisation des arrestations devrait offrir plus de détails sur l’ampleur de l’opération, et ses effets sur l’activité d’Egregor à moyen terme.

Crédit photo de la une : Louise Audry pour Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux