Une opération internationale, à laquelle Google, Amazon, Intel, ESET et Proofpoint ont pu participer, a permis de neutraliser DanaBot, terrible malware aux 300 000 victimes. Seize cybercriminels russes, accusés de l'utiliser, sont dans le viseur de la justice.
Danabot était si perfectionné qu'il pouvait transformer un ordinateur en mouchard personnel, et enregistrer chacune des frappes de son utilisateur, en plus de le filmer. Ce redoutable malware vient de connaître sa chute grâce à l'une des plus spectaculaires opérations anti-cybercriminalité jamais orchestrées. Ce démantèlement intervient alors que Danabot aurait, à minima, infecté 300 000 ordinateurs.
Ces cybercriminels russes louaient leur malware Danabot plusieurs milliers par mois
Le 22 mai, seize individus affiliés au malware Danabot se sont retrouvés dans le collimateur des autorités américaines pour avoir bâti un véritable empire cybercriminel. Parmi eux, deux figures de proue : Aleksandr Stepanov, 39 ans, alias « JimmBee », et Artem Aleksandrovich Kalinkin, 34 ans, surnommé « Onix ». Ces deux Russes de Novossibirsk, la troisième ville du pays, avaient transformé leur création en machine à cash redoutablement efficace.
DanaBot fonctionnait selon le principe du « malware-as-a-service », un logiciel malveillant en tant que service. Concrètement, en l'échange de « plusieurs milliers de dollars par mois », n'importe quel cybercriminel pouvait louer l'accès à ce botnet et ses outils de support. Un business model qui a fait ses preuves, puisqu'il a généré au moins 45 millions d'euros de dégâts à travers le monde.
Mais DanaBot n'était pas qu'un simple voleur de mots de passe. Cette hydre numérique pouvait voler les informations des appareils, pirater les sessiobs bancaires, dérober les historiques de navigation, mais aussi les identifiants de comptes stockés et les informations de portefeuilles de cryptomonnaies. Plus terrifiant encore, il enregistrait les frappes clavier et filmait l'activité des utilisateurs à leur insu.
Comment les forces internationales ont démantelé l'empire DanaBot
La particularité glaçante de DanaBot reste que ses créateurs avaient développé une version spécialement conçue pour cibler « les ordinateurs victimes dans les entités militaires, diplomatiques, gouvernementales et connexes ». Cette variante espionnait systématiquement diplomates, forces de l'ordre et militaires en Amérique du Nord et en Europe, en transformant un simple logiciel malveillant en outil de renseignement géopolitique.
C'est dans le cadre de la fameuse opération Endgame, qualifiée par Europol de « plus grande opération jamais menée contre les botnets », qu'a été mené ce démantèlement. Une alliance inédite entre forces de l'ordre internationales et secteur privé a permis de porter un coup fatal à l'écosystème criminel. Pour faire tomber DanaBot, des mastodontes de la Tech (Google, Amazon, PayPal, Intel) ont collaboré avec de grands noms de la cybersécurité et du Cloud (ESET, Crowdstrike, Proofpoint, ZScaler).
Comme l'explique et le rappelle le procureur américain Bill Essayli, « Les malwares omniprésents comme DanaBot nuisent à des centaines de milliers de victimes à travers le monde, y compris des entités militaires, diplomatiques et gouvernementales sensibles ». Voilà donc une victoire qui s'inscrit dans une série de succès récents, perturbant également les infrastructures d'IcedID, SystemBC, Pikabot et Bumblebee, autant de noms qui terrorisaient les spécialistes de la cybersécurité.
