(AFP) – Plusieurs membres d’un groupe de cybercriminels, à l’origine de plusieurs attaques informatiques dans le monde dont celle du quotidien Ouest France, ont été interpellés le 9 février en Ukraine, a-t-on appris jeudi de sources policière et proche du dossier.
Cette “opération internationale“, impliquant des policiers français et ukrainiens ainsi que le FBI, a mis un “coup d’arrêt” à la diffusion d’un rançongiciel baptisé “Egregor”, détaille la police dans un communiqué de presse. Au moins trois personnes ont été interpellées dans ce coup de filet, selon une source proche du dossier.
C’est un signalement par Europol en septembre qui avait conduit le parquet de Paris à ouvrir en France une enquête confiée à la sous-direction de la lutte contre la cybercriminalité.
Le groupe pratiquait la technique de la “double extorsion“: d’une part le chiffrement et le vol des données de l’entreprise ciblée, d’autre part la menace de publication de ces données compromises sur un site web si la société refusait de payer une rançon en bitcoins, la plus célèbre des monnaies virtuelles.
Selon les premiers éléments d’enquête communiqués par les services de sécurité ukrainiens (SBU), “Egregor” a attaqué au moins 150 entreprises, principalement aux Etats-Unis et en Europe, pour des pertes estimées à environ 66 millions d’euros.
Le rançongiciel se propageait par une intrusion préalable “via l’envoi de courriels d’hameçonnage et des accès au bureau à distance de Windows mal sécurisés“, détaille la police française.
Particulièrement sophistiqué, “Egregor” pouvait prendre le contrôle des imprimantes connectées aux ordinateurs infectés et imprimer la note de rançon, “amplifiant encore l’impact psychologique de l’extorsion”, souligne-t-on de même source.
Les domiciles des suspects ont été perquisitionnés et le matériel informatique saisi est “toujours en cours d’exploitation” par les enquêteurs français envoyés sur place, selon la police.
Plusieurs entreprises françaises ont été visées par “Egregor”, dont le quotidien Ouest-France, le transporteur Gefco ou le géant du jeu vidéo Ubisoft. Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), “Egregor serait lié à la fin d’activité du groupe d’attaquants à l’origine du rançongiciel Maze“, à l’origine notamment d’une attaque contre Bouygues Construction en janvier 2020.