Europol gèle $47M in de crypto lors du démantèlement mondial d'Infostealer

Les forces de l'ordre ont gelé plus de 41 millions d'euros (environ 47 millions de dollars) de cryptomonnaies criminelles dans le cadre de l'Operation Endgame, a annoncé Europol mercredi. L'opération multinationale de deux semaines a démantelé l'infrastructure derrière trois familles de malwares — SocGholish, Amadey et StealC — qui volent des mots de passe et des données de portefeuilles crypto pour permettre des fraudes et des attaques par rançongiciel. Cette action ciblait les plateformes de cybercriminalité en tant que service qui vident discrètement les portefeuilles crypto en récupérant les identifiants et les clés privées des systèmes infectés.

Les familles de malwares ciblent les identifiants des portefeuilles crypto

Les trois familles de malwares ciblent spécifiquement les utilisateurs de crypto via différents vecteurs d'attaque. StealC, un voleur d'informations vendu en tant que service depuis 2023, récupère des mots de passe, des cookies de navigateur et des données de portefeuilles crypto à partir de machines infectées. Les chercheurs de Proofpoint ont découvert que son panneau de contrôle incluait un plugin tentant de déchiffrer les phrases de récupération (seed phrases) des portefeuilles MetaMask des victimes.

Amadey établit un accès initial au système et déploie des malwares supplémentaires. SocGholish, lié au groupe russe Evil Corp, infecte les utilisateurs via de fausses invites de mise à jour du navigateur sur des sites web compromis. La chaîne de malwares aboutit au vidage des portefeuilles, à la prise de contrôle des comptes et au déploiement de rançongiciels.

Les voleurs d'informations sont devenus une voie principale vers le vol de cryptomonnaies en extrayant des fichiers de portefeuilles, des clés privées et des phrases de récupération des appareils des victimes. Les vecteurs d'attaque incluent de faux outils d'IA, des fonds d'écran Steam et des modifications de jeux piratés.

La police démantèle 326 serveurs et récupère 27 millions d'identifiants

L'opération a mis hors service 326 serveurs et 142 domaines. La police a récupéré près de 27 millions d'identifiants volés provenant de plus de 385 000 systèmes compromis et a nettoyé près de 15 000 sites web infectés, dont beaucoup appartiennent à des petites entreprises.

Microsoft, partenaire de l'opération, a lié Amadey et StealC à plus de 140 000 ordinateurs infectés dans le monde entier au cours des deux premières semaines de mai seulement. Une action précédente de l'Operation Endgame à la fin de l'année dernière a révélé des données de connexion pour plus de 100 000 portefeuilles crypto volés à des victimes mais pas encore vidés.

Microsoft dépose une plainte RICO contre les opérateurs de malwares

L'unité des crimes numériques de Microsoft a déposé une plainte pour racket aux États-Unis traitant deux familles de malwares comme une seule conspiration criminelle. En utilisant des outils d'IA, dont Copilot, pour analyser les malwares, les enquêteurs ont découvert qu'Amadey et StealC, bien que construits par des criminels différents, fonctionnaient sur une infrastructure partagée.

Cette action en justice a permis à Microsoft d'inculper les facilitateurs des deux opérations en vertu de la loi RICO et de perturber plus de 200 serveurs de commande et de contrôle. L'entreprise a identifié plus de 18 000 ordinateurs victimes et a commencé à couper le contrôle des attaquants.

Alertes aux victimes acheminées via le service Have I Been Pwned

Europol et ses partenaires acheminent les alertes aux victimes via des services comme Have I Been Pwned, permettant aux utilisateurs de vérifier si leurs identifiants et clés de portefeuilles crypto sont entre les mains de criminels. Les opérateurs de StealC ont livré une nouvelle version du malware aussi récemment que ce mois-ci.

FAQ

Qu'a annoncé Europol mercredi concernant l'Operation Endgame ? Europol a annoncé que les forces de l'ordre ont gelé plus de 41 millions d'euros (47 millions de dollars) de cryptomonnaies criminelles et démantelé l'infrastructure derrière trois familles de malwares — SocGholish, Amadey et StealC — lors d'une opération multinationale de deux semaines.

Combien de serveurs et d'identifiants la police a-t-elle récupérés lors du démantèlement de l'Operation Endgame ? La police a mis hors service 326 serveurs et 142 domaines, a récupéré près de 27 millions d'identifiants volés provenant de plus de 385 000 systèmes compromis et a nettoyé près de 15 000 sites web infectés au cours de l'opération.