Passer au contenu

25 millions d’identifiants piratés, 140 000 PC infectés : comment une opération de police a neutralisé deux redoutables virus

Amadey et StealC, deux virus massivement utilisés par les gangs de ransomwares, viennent d’être neutralisés par Europol. En quelques semaines, l’opération internationale Endgame a mis hors service 326 serveurs, récupéré 25,6 millions d’identifiants volés et gelé 41 millions d’euros de cryptomonnaies.

Mi-juin, Europol a mis un terme aux activités de SocGholish, un gang de cybercriminels spécialisé dans le déploiement de fausses alertes de mises à jour. Actif depuis 2017, le gang avait piraté près de 15 000 sites WordPress en y injectant du JavaScript malveillant. Surnommé le « parrain » des fausses mises à jour par Proofpoint, le groupe servait de porte d’entrée à des ransomwares majeurs, comme LockBit. Dans le cadre d’une opération de police internationale, les forces de l’ordre ont désactivé 106 serveurs et sauvé les 14 971 sites compromis par SocGholish.

L’offensive contre SocGholish faisait partie d’une opération policière de longue haleine, baptisée Endgame. Lancée il y a déjà deux ans par les enquêteurs d’Europol et Eurojust, elle vise à détruire l’infrastructure informatique de nombreux services criminels, dont des botnets ou des virus exploités par des spécialistes de l’extorsion.

À lire aussi : Microsoft a découvert qu’un ver informatique se propage sur les clés USB

Deux autres virus dans le viseur des autorités

Dans le cadre de cette initiative d’envergure, les autorités se sont ensuite attaquées à Amadey et StealC, deux autres outils phares de l’industrie criminelle. Régulièrement combinés par les hackers, les malwares sont massivement utilisés pour orchestrer des cyberattaques de A à Z.

En règle générale, les cybercriminels utilisent Amadey comme porte d’entrée sur un système. Diffusé principalement par le biais d’e-mails de phishing, le virus fait partie des logiciels malveillants de type « dropper ». Ces virus sont programmés pour s’introduire discrètement sur un ordinateur, et, dans un deuxième temps, y installer d’autres solutions pirates, plus dangereuses.

Une fois qu’Amadey s’est glissé sur la machine, un autre virus va entrer en scène : StealC. Ce virus prend le relais de la cyberattaque et va aspirer tous les mots de passe, les identifiants bancaires et les données personnelles stockés sur l’ordinateur. Selon les investigations menées par Microsoft, le duo de virus a infecté plus de 140 000 ordinateurs dans le monde au cours des deux premières semaines de mai 2026. Parmi les pays les plus touchés, on trouve la France. L’Hexagone figure à la 16ᵉ place des principales victimes.

Plus de 25,6 millions d’identifiants volés

Sous la houlette d’Europol, plusieurs grands noms de la cybersécurité se sont attaqués à l’infrastructure d’Amadey et StealC. Les chercheurs de Proofpoint et IBM X-Force ont notamment pu neutraliser 66 domaines et 296 serveurs de StealC. Dans la foulée, plus de 25,6 millions d’identifiants volés ont été récupérés. Ces informations compromises proviennent de 385 000 systèmes différents.

En parallèle, les experts d’Europol ont débusqué une faille critique dans le panneau de contrôle de StealC. Les enquêteurs se sont empressés de se servir de la vulnérabilité pour entrer dans le système des cybercriminels. De fil en aiguille, ce sont 326 serveurs et 142 domaines qui ont été mis hors service. Europol indique aussi avoir identifié et gelé plus de 41 millions d’euros de cryptomonnaies.

À lire aussi : Microsoft a découvert qu’un ver informatique se propage sur les clés USB

La riposte de Microsoft devant les tribunaux

De son côté, Microsoft s’est tourné vers les tribunaux américains. Les plaintes déposées visent à obtenir l’accord de la justice pour démanteler les deux infrastructures criminelles. Plutôt que d’attendre que la justice condamne des individus, Microsoft s’attaque directement aux serveurs et aux domaines qui font tourner tout le système. Cette « affaire ouvre la voie à une nouvelle approche juridique qui, si elle s’avère efficace, pourrait devenir un modèle de référence pour perturber durablement les écosystèmes cybercriminels, au-delà du simple démantèlement d’acteurs ou d’outils isolés », estime Microsoft dans une réaction adressée à 01net.

Pour Europol, c’est la « plus grande opération internationale jamais menée » contre les pirates spécialisés dans les ransomwares. Les deux malwares étaient en effet massivement utilisés par les spécialistes de l’extorsion. En court-circuitant les pans clés de son arsenal, Europol espère mettre des bâtons dans les roues des gangs.

👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.

Source : Europol


Florian Bayard