Le plus gros coup porté contre les botnets par Europol – Le hashrate de Monero chute massivement

Avec « l’Opération Endgame », Europol s’est attaqué aux soi-disant « droppers ». Cela pourrait causer des dommages durables à l’infrastructure du ransomware – mais le minage de Monero est également susceptible d’être affecté.

Quiconque surveille le taux de hachage de Monero a vu quelque chose d'intéressant fin mai : il est passé de 2,9 Gigahash le 29 mai à 1,78 Gigahash le 31 mai, perdant plus d'un tiers en deux jours et se trouve maintenant à son niveau le plus bas en trois ans.

On peut supposer que la raison de cette affaire sans précédent se trouve à La Haye, notamment au siège d'Europol. « L'opération Endgame » s'y est déroulée entre le 27 et le 29 mai. Cela a abouti à un coup dur contre les soi-disant « compte-gouttes ».

Les compte-gouttes sont des logiciels malveillants. Ils infectent d'autres systèmes, mais ne causent pas eux-mêmes de dommages, mais servent plutôt de cheval de Troie pour d'autres logiciels malveillants, comme passerelle. Dans le monde de plus en plus divisé de la cybercriminalité, les droppers n'utilisent généralement pas l'accès eux-mêmes, mais le vendent plutôt à d'autres cybercriminels sur le Darknet.

De nombreuses unités de police européennes dirigées par la France, l’Allemagne et les Pays-Bas ont travaillé ensemble dans ce qu’Europol a décrit comme « la plus grande opération jamais menée contre les botnets ». Dans un effort concerté, ils ont fermé plus de 100 serveurs, confisqué plus de 2 000 domaines, fouillé 16 maisons – dont 11 en Ukraine – et arrêté quatre personnes – dont trois en Ukraine. Apparemment, l'Ukraine était un centre opérationnel pour les compte-gouttes.

L'opération Endgame a éliminé de nombreux compte-gouttes, notamment IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot. Ceux-ci ont infecté et ouvert d’autres systèmes à leur manière. Avec ces droppers, Europol a attaqué une importante infrastructure de cybercriminalité, ce qui pourrait en fait être une décision judicieuse pour empêcher durablement la propagation des logiciels malveillants.

Après l'opération, huit cybercriminels ont pris la fuite et ont été inscrits sur la liste des « personnes les plus recherchées d'Europe ». Au cours de l'enquête, Europol a découvert que l'un des principaux suspects avait gagné au moins 69 millions d'euros en crypto-monnaies en louant la chute à des pirates informatiques ransomwares. “Les transactions des suspects sont surveillées en permanence et les exigences légales pour les confisquer à l'avenir sont déjà remplies.”

Selon Europol, les dégâts causés par les infections via le botnet en Europe s'élèvent à plusieurs centaines de millions d'euros. L'organisation policière explique que l'opération va se poursuivre : il y aura davantage d'arrestations, davantage de droppers et de botnets seront fermés.

Le communiqué ne mentionne que des ransomwares, mais il est tout à fait concevable que du cryptojacking ait également été réalisé via les droppers. Le cryptojacking consiste à installer un logiciel de minage qui fonctionne à l'insu ou sans le consentement de l'utilisateur. Europol a arrêté un cryptojacker en Ukraine en janvier.

En raison de sa résistance au minage ASIC et GPU, Monero est particulièrement adapté au cryptojacking. Non seulement il est lucratif d'exploiter la monnaie en utilisant le CPU – le seul composant disponible en toute sécurité et compétitif des systèmes infectés – mais l'anonymat par défaut des transactions évite également l'effort de blanchiment des pièces. On savait déjà en 2018 que Monero était la pièce préférée des cryptojackers.

Il ne sera peut-être pas facile pour Europol de prouver ces activités, notamment les revenus qui en découlent. Mais le moment choisi pour la baisse massive du hashrate de Monero dans le cadre de l’Opération Endgame est bien trop approprié pour n’être qu’une simple coïncidence.