Le botnet DanaBot, actif depuis 2018, mêlait fraude bancaire et espionnage stratégique. Il vient d’être neutralisé par une opération internationale majeure.
300 000. C’est le nombre de systèmes informatiques infectés dans le monde par DanaBot, un malware polymorphe dont les activités viennent d’être stoppées par une opération conjointe entre agences de cybersécurité et forces de l’ordre internationales. Depuis 2018, ce logiciel malveillant a évolué d’un simple cheval de Troie bancaire à un outil de cyberespionnage sophistiqué, exploité à des fins criminelles et stratégiques.
L’opération « Endgame », pilotée par le FBI, la DCIS et des partenaires internationaux tels que les polices allemandes, néerlandaises et australiennes, a permis la saisie des serveurs de contrôle du botnet DanaBot. En parallèle, 16 personnes ont été inculpées.
D’un malware bancaire à un outil d’espionnage
Initialement conçu pour dérober les identifiants bancaires, DanaBot était distribué via un modèle de malware-as-a-service, accessible pour 3 000 à 4 000 dollars par mois. Les affiliés pouvaient ainsi mener des campagnes ciblées visant à siphonner les comptes en ligne et les cryptomonnaies de leurs victimes.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Mais à partir de 2021, une deuxième version du malware a vu le jour, orientée vers des objectifs plus sensibles : ordinateurs de diplomates, militaires, ONG et gouvernements, notamment en Amérique du Nord et en Europe. Cette version était conçue pour exfiltrer des communications diplomatiques, identifiants, et autres données classifiées.
Un lien troublant avec les services russes
CrowdStrike, qui suit DanaBot sous le nom de « Scully Spider », avance que certaines activités de cette infrastructure relèveraient d’objectifs gouvernementaux russes. Le mélange entre cybercriminalité classique et missions d’espionnage apparait ici de manière flagrante, les serveurs de la deuxième version du botnet redirigeant les données vers des serveurs différents de ceux dédiés aux fraudes financières.
Des analystes en cybersécurité soulignent l’implication probable de l’État russe dans la mise en œuvre ou l’exploitation de ces campagnes d’espionnage, ce qui représente un niveau de collaboration inédit entre crime organisé et autorités nationales.
Des erreurs de cybercriminels, une aide pour les enquêteurs
Fait insolite, plusieurs opérateurs de DanaBot ont, volontairement ou par erreur, infecté leurs propres machines avec le malware qu’ils développaient. Ces auto-infections ont conduit à l’upload accidentel de leurs propres identifiants et fichiers vers les serveurs de données volées. Pour les enquêteurs, cela a constitué une opportunité unique de retracer les activités internes du groupe et d’identifier certains auteurs.
Ces découvertes, croisées avec les données saisies sur les serveurs de contrôle et de stockage, ont permis aux autorités de confirmer l’implication directe de plusieurs suspects.
Par ailleurs, plus de 24 millions de dollars en cryptomonnaies ont été saisis. La capture des serveurs contenant les données dérobées a offert aux autorités une visibilité inédite sur les mécanismes de l’infrastructure DanaBot, renforçant ainsi les preuves accumulées contre le réseau.
Un modèle de collaboration public-privé efficace
L’efficacité de cette opération repose sur l’engagement coordonné d’entreprises de cybersécurité telles que Google, ESET, Flashpoint, Intel 471, Proofpoint ou encore ZScaler. Ensemble, elles ont permis d’identifier, infiltrer et neutraliser l’infrastructure de DanaBot.
Les victimes identifiées sont en cours de notification, et les autorités appellent les organisations exposées à renforcer leur veille et à vérifier les compromissions potentielles, en particulier sur les serveurs touchés par les variants de type espionnage.
Les conséquences de cette affaire vont au-delà de la neutralisation d’un seul botnet. Elles mettent en lumière l’évolution de la cybermenace, où les frontières entre cybercriminalité et opérations d’État deviennent de plus en plus floues.
Pour en savoir plus
Oups : les développeurs du malware DanaBot ont infecté leurs propres PC
Le gouvernement américain a dévoilé aujourd’hui les accusations criminelles portées contre 16 personnes accusées d’avoir exploité et vendu DanaBot, une souche prolifique de malware voleur d’informations vendu sur les forums de cybercriminalité russes depuis 2018. Le FBI affirme qu’une version plus récente de DanaBot…
L’opération de malware DanaBot a été démantelée à l’échelle mondiale
Un groupe mondial de défenseurs privés et d’organismes chargés de l’application de la loi a remporté une nouvelle victoire contre un facilitateur clé de la cybercriminalité, en lançant des saisies et des démantèlements coordonnés des serveurs de commande et de contrôle de DanaBot, perturbant ainsi les opérations du malware en tant que service, a déclaré jeudi le ministère de la Justice.
Le malware DanaBot est perturbé et les acteurs de la menace sont nommés
Le malware DanaBot a été gravement démantelé par les forces de l’ordre. Voici un aperçu détaillé de ce puissant outil de vol de données pour la cybercriminalité clandestine.
(Re)découvrez également:
Renforcer la lutte contre la cybercriminalité : les 7 défis selon Europol et Eurojust
La cybercriminalité en Europe nécessite une coopération accrue, avec des défis tels que la perte de données et l’accès limité aux informations.
Europol démantèle un réseau mondial de services DDoS à la demande
Europol démantèle un réseau DDoS-for-hire ; quatre suspects arrêtés en Pologne pour avoir administré ces plateformes illégales.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
