Quatre sites utilisés pour tester et perfectionner des malwares contre des antivirus ont été démantelés dans le cadre d’une vaste opération internationale menée par les autorités américaines, néerlandaises et finlandaises.
Une offensive coordonnée des services de police et de justice internationaux a abouti, le 27 mai dernier, à la saisie de quatre domaines internet : AVCheck, Crypt guru, et Cryptor. Ces plateformes, longtemps utilisées par les cybercriminels pour tester l’efficacité de leurs malwares face aux logiciels de sécurité, ont été neutralisées dans le cadre de l’Opération Endgame, une campagne transnationale de lutte contre les organisations cybercriminelles.
Lancée depuis deux ans, cette opération a déjà permis plusieurs arrestations et démantèlements de réseaux. Selon les documents judiciaires déposés le 15 mai devant la cour du district sud du Texas et rendus publics jeudi 30 mai, ces sites représentaient un maillon clé dans la chaîne de production des malwares utilisés dans des cyberattaques mondiales. Leur démantèlement marque un tournant dans la lutte contre la cybercriminalité organisée.
Des plateformes au service de la discrétion malveillante
Pendant plus d’une décennie, ces sites ont offert un service précis et redoutablement efficace : permettre à des développeurs malveillants de tester leurs codes contre les antivirus du marché, dans un environnement simulé. Une forme d’assurance qualité pour les cybercriminels, leur garantissant que leurs programmes nocifs, virus, ransomwares ou chevaux de Troie, passent inaperçus une fois déployés.
Le concept est connu sous le nom de crypting. Il s’agit de modifier le code d’un malware afin de le rendre indétectable par les antivirus, les pare-feu et autres systèmes de détection d’intrusions. L’objectif : contourner les défenses numériques pour maximiser l’impact de l’attaque. Ces services étaient proposés moyennant finances, les prix allant de 15 à 1 000 dollars (14 à 930 euros) selon le niveau de complexité demandé ou le nombre de tests souhaité.
« Cryptor.biz a été identifié dans 37 enquêtes différentes menées par 29 antennes du FBI aux États-Unis« , documents judiciaires du Texas, mai 2024
Selon le ministère néerlandais de la Sécurité et de la Justice, AVCheck était l’un des plus gros services de ce type dans le monde. « La mise hors ligne du service AVCheck représente une avancée majeure dans la lutte contre la cybercriminalité organisée« , a déclaré Matthijs Jaspers, un haut responsable de la police néerlandaise. « Cela perturbe les opérations dès les premières étapes de développement des malwares et permet de limiter les dégâts avant qu’ils n’atteignent leurs cibles.«
Une traque internationale coordonnée
L’action a été rendue possible grâce à une collaboration étroite entre le ministère américain de la Justice (DOJ), le FBI, la police nationale néerlandaise, la police finlandaise et d’autres partenaires internationaux. Des agents infiltrés ont effectué des achats test sur les plateformes saisies, ce qui a permis de confirmer leur usage exclusivement criminel.
L’enquête a également mis en lumière des connexions directes entre ces services et des groupes de ransomware tristement célèbres, comme Ryuk. Ce groupe, actif depuis 2018, est responsable de nombreuses attaques ayant paralysé des hôpitaux, administrations et entreprises aux États-Unis et ailleurs. Le DOJ a ainsi identifié des adresses électroniques et données utilisateur liant Cryptor.biz à des individus associés au développement et au déploiement du ransomware Ryuk.
« Les services de crypting permettent aux criminels d’obscurcir leurs malwares, les rendant indétectables et facilitant l’accès non autorisé aux systèmes informatiques« , a précisé le ministère de la Justice américain.
Selon les documents judiciaires, Cryptor est mentionné dans au moins 37 autres enquêtes menées dans 29 antennes différentes du FBI. Une dispersion géographique révélatrice de l’ampleur de la menace et du rôle central joué par ces plateformes dans l’écosystème cybercriminel mondial.
L’objectif de l’Opération Endgame va au-delà de l’arrestation de pirates informatiques. Elle vise aussi à démanteler les infrastructures techniques qui soutiennent leurs activités. U.S. Attorney Nicholas Ganjei, procureur au Texas, a insisté sur cette stratégie globale : « Nous devons viser non seulement les individus qui créent et utilisent les malwares, mais également ceux qui les outillent.«
Cette approche permet d’asphyxier progressivement l’économie souterraine du cybercrime, en privant les malfaiteurs des services essentiels à leur réussite. En d’autres termes, frapper les “facilitateurs”, pas uniquement les exécutants.
« Les cybercriminels ne se contentent pas de créer des malwares, ils les perfectionnent pour infliger un maximum de dégâts« , a souligné Douglas Williams, agent spécial du FBI à Houston.
En fermant ces services, les forces de l’ordre espèrent ralentir les cycles de développement de malwares, compliquer leur distribution et limiter leur efficacité. Un moyen indirect mais stratégique de protéger les infrastructures critiques, les entreprises et les particuliers contre des cyberattaques de plus en plus sophistiquées.
L’usage de ces plateformes était largement promu sur des forums clandestins spécialisés, où les services étaient vendus comme des « solutions professionnelles » de test antivirus. Le jargon y est codé, mais l’offre bien claire : « FUD crypting » (Fully Undetectable), « scan privé » « test multi-antivirus« … autant de services conçus pour optimiser la furtivité des codes malveillants.
Le démantèlement de ces sites ne signe pas pour autant la fin de ce type de services. D’autres plateformes émergent régulièrement, souvent hébergées dans des juridictions laxistes ou protégées par des techniques d’anonymisation.
