Dridex subit des pertes

Les efforts conjoints dans la lutte internationale contre la cybercriminalité ont enregistré une nouvelle réussite: plusieurs serveurs de commande du banker Dridex, très actif cette année, ont été mis hors service ; la justice américaine a porté plainte contre l’opérateur présumé du bot, un citoyen moldave arrêté à la fin du mois d’août à Chypre et qui est en attente d’extradition.

L’opération internationale contre cette gigantesque escroquerie a réuni le FBI, l’Agence nationale de lutte contre la criminalité de Grande-Bretagne (NCA), le Centre européen de lutte contre la cybercriminalité (EC3), les CERT des deux pays, des cyberpoliciers de Londres et les polices allemande et moldave. L’enquête a également compté sur la coopération des sociétés de sécurité informatique Dell SecureWorks, Fox-IT, S21sec ainsi que d’organisation à but non lucratif comme Abuse.ch, Spamhaus et la Shadowserver Foundation.

Le trojan banker Dridex, qui apparaît parfois sous le nom Bugat, Cridex ou Feodo est connu avant tout pour sa méthode de propagation qui implique du courrier indésirable et des macros Microsoft Office. D’après Trend Micro, l’accès à ce malware s’opère selon le modèle BaaS (Botnet-as-a Service, réseau de zombies en tant que service) et à l’heure actuelle, il existe plusieurs de ces types de réseau. Leur élimination est difficile: Les auteurs de Dridex utilisent une architecture P2P empruntée à ZeuS/Gameover, toutefois après le démantèlement de ce dernier, un niveau intermédiaire a été ajouté aux réseaux de zombies mis en place à l’aide de Dridex.

Les autorités judiciaires et policières des Etats-Unis et de Grande-Bretagne ont obtenu l’autorisation du juge pour substituer les serveurs de commande de Dridex (technique du sinkhole) identifiés pendant l’enquête. D’après les premiers éléments, ces efforts conjoints ont permis de neutraliser une partie importante de l’infrastructure du malware. Il incombe aux utilisateurs de débarrasser leur matériel des traces de Dridex et pour ce faire, ils peuvent compter sur les recommandations et les liens proposés par la NCA et l’US-CERT.

Une action en justice a été lancée en Pennsylvanie contre le ressortissant moldave Andrei Ginkhul accusé de complot criminel, d’accès non autorisé à un ordinateur dans le but de réaliser une escroquerie, d’endommagement au matériel informatique, de fraude sur des virements et de fraude bancaire. D’après l’acte d’accusation, Andrei Ginkhul appartient à un groupe criminel qui utilise un malware pour voler des informations d’accès à des comptes en banque. Ce groupe a ainsi pu transférer des millions de dollars depuis les comptes des victimes infectées vers des comptes ouverts par des intermédiaires aux Etats-Unis et à l’étranger (Kiev, Krasnodar, Minsk).

Les dommages provoqués par Dridex sur le territoire des Etats-Unis s’élèvent à 10 millions de dollars américains (FBI) et à 20 millions de livres sterling en Grande-Bretagne (NCA). D’après les informations de Trend Micro, Dridex s’intéresse plus particulièrement aux banques aux Etats-Unis, en Grande-Bretagne, en Roumanie et en France. La majorité des infections a été détectée aux Etats-Unis (19,83 % des détections de ces trois derniers mois), en Grande-Bretagne (16,07 %), au Japon et en France (10,54 et 7,7 % respectivement).

Source: Departament of Justice

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *