Encore une fois, les principaux membres d'un groupe de rançongiciels ont été capturés : les chefs du groupe APT DoppelPaymer ont été capturés en Ukraine et en Allemagne grâce à une coopération de la police, d'Europol, du FBI et de nombreuses autres autorités. Le groupe s'est fait connaître grâce à l'attaque de l'hôpital universitaire de Düsseldorf.
Déjà le 28 février 2023, le bureau de la police criminelle de l'État allemand de Rhénanie du Nord-Westphalie et la police nationale ukrainienne, avec le soutien d'Europol, de la police néerlandaise (Politie) et du Federal Bureau of Investigation des États-Unis, ont ciblé des membres présumés du noyau dur de le groupe criminel responsable des cyberattaques à grande échelle responsable du rançongiciel DoppelPaymer.
🔎 La police nationale ukrainienne a aidé Europol dans le raid (Image : Europol).
Doppel Palmer a également attaqué des hôpitaux
Le ransomware est apparu en 2019 lorsque les cybercriminels ont commencé à lancer des attaques contre des organisations, des infrastructures et des industries critiques. Basé sur le rançongiciel BitPaymer et faisant partie de la famille de logiciels malveillants Dridex, DoppelPaymer a utilisé un outil unique capable de compromettre les mécanismes de défense en mettant fin au processus lié à la sécurité des systèmes attaqués. Les attaques DoppelPaymer ont également été rendues possibles par Emotet.
Le rançongiciel a été distribué via divers canaux, y compris des e-mails de phishing et de spam avec des pièces jointes contenant du code malveillant - JavaScript ou VBScript. Le groupe criminel à l'origine de ce ransomware s'est appuyé sur un système de double ransomware et a utilisé un site Web de fuite lancé par les acteurs criminels au début de 2020. Les autorités allemandes ont connaissance de 37 victimes de ce groupe de rançongiciels, toutes des entreprises. L'un des attentats les plus graves a été perpétré contre l'hôpital universitaire de Düsseldorf. Aux États-Unis, les victimes ont payé au moins 2019 millions d'euros entre mai 2021 et mars 40.
Des dizaines de millions de butin
Au cours des actions simultanées, des officiers allemands ont perquisitionné le domicile d'un ressortissant allemand soupçonné d'avoir joué un rôle important dans le groupe de rançongiciels DoppelPaymer. Les enquêteurs analysent actuellement les appareils confisqués pour déterminer le rôle exact du suspect dans la structure du groupe de rançongiciels. Dans le même temps, et malgré la situation sécuritaire extrêmement difficile dans laquelle se trouve actuellement l'Ukraine en raison de l'invasion russe, des policiers ukrainiens ont interrogé un ressortissant ukrainien qui est également soupçonné d'être membre du noyau dur de DoppelPaymer. Les responsables ukrainiens ont fouillé deux endroits, l'un à Kiev et l'autre à Kharkiv. Au cours des perquisitions, ils ont confisqué des appareils électroniques qui font actuellement l'objet d'un examen médico-légal.
Dès le début de l'enquête, Europol a facilité l'échange d'informations, coordonné la coopération internationale en matière répressive et soutenu les activités opérationnelles. Europol a également fourni un soutien analytique en reliant les données disponibles à diverses affaires pénales à l'intérieur et à l'extérieur de l'UE, et a aidé les enquêtes concernant la cryptomonnaie, les logiciels malveillants, le décryptage et l'analyse médico-légale.
Rouge./sel
Plus sur Europol.com