L'activité cybercriminelle liée au malware Gameover Zeus perturbée, mais pas stoppée

Un botnet exploitant le logiciel malveillant GameOver Zeus vient d'être démantelé à l'issue d'une enquête internationale. Le réseau de PC zombies a été perturbé, mais pas totalement stoppé, et le chef de file des pirates est en fuite.

Lundi 2 juin, le ministère de la justice américain et le FBI ont levé le voile sur une opération internationale visant à perturber le fonctionnement du botnet GameOver Zeus, soupçonné d'être responsable du vol de plus de 100 millions de dollars auprès d'internautes à travers le monde. En 2 ans, le logiciel malveillant aurait contaminé environ 1 million de machines, dont 25% se situeraient aux Etats-Unis. Au moins 500 000 d'entre elles ont été déconnectées du réseau selon l'entreprise britannique CrowdStrike, qui a pris part à l'opération.

L'hameçonnage, ou phishing, est privilégié par les pirates pour propager le logiciel malveillant : ce dernier est installé sur les ordinateurs lorsque les utilisateurs cliquent sur un lien reçu par mail. La machine infectée est transformée en PC zombie, qui sert de lien au réseau des pirates pour propager davantage le malware par le biais d'emails. Les données sensibles récupérées sur l'ordinateur, comme des identifiants, des mots de passe et des coordonnées bancaires sont également récupérées pour effectuer des opérations non autorisées. Enfin, GOZeus est capable d'installer un autre malware, CrytoLocker, qui chiffre les données présentes sur la machine et réclame ensuite une rançon à l'utilisateur pour lui redonner l'accès. Une fois installés, ces logiciels malveillants sont difficiles à supprimer, car la moindre trace encore présente sur la machine permet une réinstallation grâce au réseau.

Variante du malware Zeus, GameOver Zeus a la particularité d'opérer par l'intermédiaire d'un réseau peer-to-peer décentralisé : pour les autorités qui le traquent, c'est un véritable problème, puisqu'il est impossible de simplement déconnecter des serveurs pour stopper l'activité du botnet. En prenant le contrôle de certains domaines utilisés par le réseau de communication, les forces de l'ordre d'une dizaine de pays, dont la France, ont cependant réussi à ralentir la force de frappe de GameOver Zeus et à en perturber le fonctionnement.

Un ralentissement temporaire

Les autorités et autres experts en sécurité ne sont cependant pas très optimistes : les mesures prises à l'encontre du botnet seront rapidement contournées par les pirates, qui parviendront à reprendre le contrôle des machines infectées si rien n'est fait du côté de ces dernières. L'US-CERT estime qu'une fenêtre de 2 semaines devrait permettre aux internautes touchés de supprimer le ou les virus de leurs machines, avant que les pirates ne se relèvent de cette attaque.


Les ordinateurs potentiellement touchés tournent sous Windows 95, 98, Me, 2000, XP, Vista, 7, et 8. Microsoft Server 2003, Server 2008, Server 2008 R2, et Server 2012 sont également ciblés. Il est conseillé d'utiliser l'un des logiciels proposés par les éditeurs en sécurité listés par l'US-CERT pour vérifier si sa machine est touchée - McAfee propose aussi une alternative dédiée à GOZeus - mais également de profiter du répit pour changer ses mots de passe après désinfection.

A défaut de stopper net la propagation du malware, il est donc possible de l'enrayer en nettoyant les machines infectées et en faisant preuve de prudence vis-à-vis des mails malveillants.

Le créateur de GOZeus recherché

L'opération Tovar a par ailleurs entrainé la publication d'un avis de recherche par le FBI. Le bureau fédéral cherche à mettre la main sur Evgeniy Mikhailovich Bogachev, un Russe de 30 ans qui a revendiqué la paternité du malware. Un tribunal de Pennsylvanie l'a déjà inculpé de fraude financière et bancaire, de blanchiment d'argent et de piratage informatique.