Coup dur contre le ransomware : 300 serveurs saisis dans une opération internationale
Dans le cadre de la dernière phase de l'opération Endgame, une action internationale coordonnée par Europol et Eurojust, les autorités de sept pays ont saisi 300 serveurs et 650 domaines utilisés pour des attaques ransomware. Cette opération, menée du 19 au 22 mai 2025, a également abouti à des mandats d'arrêt internationaux contre 20 individus et à la saisie de 3,5 millions d'euros en cryptomonnaies, portant le total saisi à 21,2 millions d'euros depuis le début de l'opération.
Plusieurs groupes de cybercriminels utilisant des malwares comme Bumblebee, Lactrodectus, Qakbot, DanaBot, Trickbot et Warmcookie ont été ciblés. Ces logiciels malveillants, souvent proposés en tant que service, permettent aux pirates d'accéder aux réseaux des victimes avant de déployer des ransomwares. "Cette phase démontre notre capacité à frapper même lorsque les cybercriminels se réorganisent", a déclaré Catherine De Bolle, directrice exécutive d'Europol.
Parallèlement, le département américain de la Justice a inculpé 16 membres présumés d'un groupe cybercriminel russe contrôlant le malware DanaBot. Huit des accusés ont été identifiés, tandis que les huit autres sont connus sous leurs pseudonymes. Selon les autorités, ce botnet a infecté plus de 300 000 ordinateurs dans le monde, causant des dommages estimés à plus de 50 millions de dollars. DanaBot, actif depuis 2018, permet à ses administrateurs de louer l'accès à leur botnet pour plusieurs milliers de dollars par mois.
Une version secondaire de DanaBot aurait également été utilisée à des fins de cyberespionnage, ciblant des organisations militaires, diplomatiques et gouvernementales en Amérique du Nord et en Europe. Cette variante enregistrait toutes les interactions avec les ordinateurs compromis et envoyait les données volées vers un serveur différent de celui utilisé pour les activités frauduleuses.
Cette action s'inscrit dans une série d'opérations Endgame précédentes, dont la saisie de plus de 100 serveurs hébergeant 2 000 domaines utilisés par divers malwares. En juin 2024, un spécialiste du chiffrement pour les ransomwares Conti et LockBit avait été arrêté, tandis qu'en avril 2025, au moins cinq clients du botnet Smokeloader avaient été interpellés.
Enfin, cette semaine, le leader présumé de l'opération Qakbot, Rustam Rafailevich Gallyamov, a été inculpé aux États-Unis. Qakbot a compromis plus de 700 000 ordinateurs et facilité des attaques ransomware. Par ailleurs, environ 2 300 domaines utilisés par le malware Lumma ont été saisis plus tôt ce mois-ci dans le cadre d'une action menée par Microsoft.
