Operation Engame : le FBI met hors service l’arme secrète des hackers contre les antivirus

Le FBI, épaulé par les autorités néerlandaises et finlandaises, vient à nouveau de frapper un grand coup dans le cadre d’Operation Endgame. Cette fois, c’est AVCheck qui tombe, un service largement utilisé pour tester et affiner les malwares avant leur déploiement.

Nouveau rebondissement dans l’Operation Endgame. Après des semaines d’enquête, le FBI a confirmé le démantèlement d’une autre pièce maîtresse de l’arsenal des cybercriminels. Il s’agit cette fois d’un réseau de services spécialisés dans la dissimulation de malwares, reposant sur des techniques d’obfuscation ou de chiffrement visant à contourner antivirus, pare-feux et analyses forensiques. Une action menée de concert avec les autorités néerlandaises et finlandaises, et qui aura abouti à la saisie de plusieurs serveurs et domaines utilisés pour préparer des attaques par ransomware à grande échelle.

Un service technique devenu indispensable aux groupes criminels

Derrière ce coup de filet, c’est AVCheck que les autorités cherchaient à coincer. Depuis plusieurs années, ce labo de tests frauduleux figurait parmi les outils les plus utilisés par les hackers pour tester les capacités d’obfuscation de leurs malwares. En soumettant leurs charges malveillantes au service, les attaquants pouvaient ainsi vérifier si elles étaient détectées ou non par les principaux moteurs antivirus du marché, puis en ajuster le code jusqu’à ce qu’il soit indétectable.

Les enquêteurs ont rapidement établi que ce service jouait un rôle clé dans la préparation de campagnes de ransomware, notamment lors de la phase d’intrusion initiale. Plusieurs groupes criminels identifiés y avaient recours pour s’assurer que leurs fichiers ne déclencheraient aucune alerte au moment de pénétrer un réseau. Une logique d’évaluation systématique avant attaque qui avait fait d’AVCheck un maillon technique essentiel de l’écosystème cybercriminel.

L’enquête, pilotée par le FBI avec l’appui des autorités néerlandaises et finlandaises, aura donc permis d’identifier les infrastructures associées à la plateforme, de remonter jusqu’aux adresses mail associées aux comptes admin, et de confirmer son usage massif par des acteurs malveillants.

À l’issue de l’opération, plusieurs serveurs ont été saisis, ainsi que quatre noms de domaine permettant d’accéder au service. Deux plateformes associées, Cryptor.biz et Crypt.guru, également spécialisées dans la dissimulation de malwares, ont aussi été ciblées dans cette action coordonnée qui visait non seulement à neutraliser ces outils, mais aussi leur capacité à être rapidement remis en ligne.

Une opération internationale qui dure depuis un an déjà

L’action menée contre AVCheck s’inscrit dans une série d’interventions coordonnées dans le cadre d’Operation Endgame, lancée en mai 2024. Portée par Europol avec l’appui d’une quinzaine de pays et le soutien des États-Unis, cette initiative vise à démanteler les services techniques utilisés en amont des campagnes de ransomware, en vue de perturber l’organisation des chaînes d’infection avant même le déploiement des attaques.

Les premières actions, menées en mai 2024, avaient ainsi visé les « droppers », ces malwares qui servent de vecteurs pour introduire d’autres logiciels malveillants dans les systèmes compromis. Au total, plusieurs centaines de serveurs avaient été saisis, des milliers de noms de domaine confisqués, et de nombreuses arrestations confirmées.

Depuis, les opérations se poursuivent par vagues ciblées, en s’attaquant aussi bien aux infrastructures qu’aux utilisateurs et utilisatrices de ces services. Dernière en date, le démantèlement de DanaBot, malware-as-a-service ayant permis aux cybercriminels d’infecter plus de 300 000 PC et de causer 45 millions d’euros de dégâts dans le monde.

Sources : US Department of Justice, Politie