Mise hors service du réseau de zombies Ramnit

Le réseau de zombies Ramnit, si populaire auprès des escrocs financiers, a été mis hors d’état de nuire par un groupe de combattants contre la cybercriminalité. Cette opération transfrontalière a été dirigée par le Centre européen de lutte contre la cybercriminalité (EC3), sous l’égide d’Europol.

Le communiqué de presse d’EC3 indique que l’opération conjointe a compté sur la participation de chercheurs européens et d’experts de Microsoft, AnubisNetworks et Symantec. Cette action concertée a permis de neutraliser l’infrastructure de commande du réseau de zombies et de rediriger le trafic de 300 domaines utilisés par Ramnit, vers des nœuds contrôlés par les organes compétents.

D’après les estimations d’EC3, le malware Ramnit avait infecté plus de 3,2 millions d’ordinateurs Windows. Les individus malintentionnés propagent ce malware via le spam, des liens de phishing ou des téléchargements de type "drive-by" associés à des techniques d’ingénierie sociale. Ramnit permet à ses opérateurs d’accéder à l’ordinateur infecté et de voler les données bancaires, les mots de passe de compte de réseaux sociaux, les informations d’identification sur des services FTP et bien d’autres données encore. Ce malware est également capable de neutraliser un logiciel antivirus sur la base d’une liste de solutions antivirus les plus utilisées.

Paul Gillen, Directeur adjoint de l’EC3 chargé des opérations, a déclaré à Reuters que l’opération avait permis de neutraliser sept serveurs de commande de Ramnit. En résumé, il a déclaré : "Les individus malintentionnés ont perdu le contrôle de leur infrastructure".

Microsoft avait publié il y a deux ans un rapport détaillé sur Ramnit dans lequel on apprenait que les opérateurs avaient perfectionné non seulement la protection du malware contre la détection, mais également le système de gestion des bots. Ils avaient par exemple introduit des opérations de chiffrement complémentaires afin de compliquer la détection du code malveillant.

Cette action punitive contre Ramnit est la dernière d’une longue série d’actions similaires menées par les autorités judiciaires et policières en coopération avec des sociétés informations comme Microsoft dans la lutte contre les réseaux de zombies. Microsoft a d’ailleurs publié une nouvelle page sur son site où l’utilisateur trouvera toutes les explications sur la détection de Ramnit et sa suppression de l’ordinateur infecté.

"Cette opération démontre une nouvelle fois l’importance de la coopération entre les autorités judiciaires et policières d’une part et le secteur privé d’autre part si l’on souhaite remporter des victoires dans la lutte contre ce phénomène international qu’est la cybercriminalité" a déclaré Wil Van Gemert, Directeur adjoint de l’EC3 chargé des opérations. "Nous sommes bien décidés à poursuivre les opérations qui mettent les réseaux de zombie hors d’état de nuire et qui démantèlent les infrastructures clés utilisées par les cybercriminels pour réaliser les délits les plus divers. La protection des utilisateurs contre ces menaces est une tâche importante dont les autorités des pays de l’Union européenne s’acquittent en coopération avec nos partenaires étrangers".

Pour rappel, ce n’est pas la première fois que Microsoft lutte contre les opérateurs de bots. Elle compte déjà à son actif toute une série d’opérations similaires, notamment contre Nitol, ZeuS et GameOver/Cryptolocker. Malheureusement, toutes les initiatives de Microsoft dans ce domaine ne se sont pas toujours déroulées sans accroc. Ainsi, l’été dernier, Microsoft a mené une attaque contre l’infrastructure de plusieurs familles malveillantes et a entamé des poursuites contre le fournisseur DDNS utilisé par les individus malintentionnés. Lors de l’opération, les experts ont réussi à substituer plusieurs domaines associés aux réseaux de zombies, toutefois certains d’autres eux étaient utilisés dans le cadre d’une enquête sur la sécurité informatique. De plus, cette action de grande envergure organisée sans aucune consultation a provoqué une dégradation des services DNS des clients légitimes du fournisseur. En fin de compte, Microsoft fut obligée de restituer tous les domaines saisis à l’opérateur du service DNS qui, de son côté, s’était engagé à aider les experts à identifier les sous-domaines malveillants.

Un rapport de Kaspersky Lab consacré aux menaces financières publié récemment indiquait que les solutions de protection de la société avaient enregistré en 2014 23 millions d’attaques qui utilisaient des Trojan bancaires et d’autres malwares du style de Ramnit. D’après les statistiques reprises dans ce rapport, la part d’attaques malveillantes visant les utilisateurs de système de banque électronique avait augmenté en un an de 8,9 points de pourcentage, pour atteindre 76,5 % de l’ensemble des attaques impliquant des malwares financiers.

"Au risque de décevoir les individus malintentionnés qui pensent pouvoir échapper aux sanctions, je dois avouer que les services de police sont capables d’interrompre l’activité des cybercriminels. Je tiens à insister particulièrement sur l’importance de la coopération internationale car la cybercriminalité est un phénomène mondial" a déclaré David Emm, principal expert régional du Centre international d’étude et d’analyse des menaces de Kaspersky Lab.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *