Une enquête conjointe entre Europol, la police régionale allemande, la police nationale ukrainienne, la police néerlandaise et le FBI ont permis d’arrêter deux membres présumés du groupe de rançongiciel DoppelPaymer.
Joli coup de filet pour Europol et les polices de plusieurs états. Le 28 février dernier, l'agence de police européenne a annoncé l'interpellation de deux membres du groupe de rançongiciel DoppelPaymer. Un premier suspect a été interpellé en Allemagne. Les enquêteurs analysent actuellement son matériel informatique afin de déterminer avec exactitude le rôle qu’il tenait dans l’organigramme du groupe.
« Dans le même temps, et malgré la situation sécuritaire extrêmement difficile à laquelle l'Ukraine est actuellement confrontée en raison de l'invasion par la Russie, des policiers ukrainiens ont interrogé un ressortissant ukrainien qui serait également membre du groupe central DoppelPaymer. », écrit Europol dans son communiqué. Deux perquisitions ont été menées à Kiev et à Kharkiv au cours desquelles du matériel informatique a également été saisi. Europol est actuellement sur place pour assister les autorités locales dans l’analyse des données saisies.
Attaques contre des infrastructures critiques
« Europol a également mis en place un poste de commandement virtuel pour connecter en temps réel les enquêteurs et les experts d'Europol, d'Allemagne, d'Ukraine, des Pays-Bas et des États-Unis et pour coordonner les activités lors des perquisitions domiciliaires ».
Ce ransomware a été identifié pour la première fois en 2019. Il était principalement utilisé pour mener des attaques contre des organisations et des infrastructures et industries critiques. L’une des attaques avait par exemple visé l'hôpital universitaire de Düsseldorf. Rien qu’aux États-Unis, les victimes de ce rançongiciel ont payé 40 millions d'euros entre mai 2019 et mars 2021.
Basé sur le ransomware BitPaymer, DoppelPaymer fait partie de la famille de malwares Dridex. DoppelPaymer « est capable de compromettre les mécanismes de défense en mettant fin au processus lié à la sécurité des systèmes attaqués. Les attaques DoppelPaymer ont été activées par le prolifique malware EMOET. », détaille Europol. Le rançongiciel était distribué via des canaux relativement classique comme des e-mails de phishing et de spam avec pièces jointes contenant du code malveillant - JavaScript ou VBScript.