L'opération Endgame neutralise le malware DanaBot et 300 serveurs

Dans le cadre d'une opération internationale majeure coordonnée par Europol et Eurojust, les forces de l'ordre et les partenaires du secteur privé ont réussi à démanteler le réseau de logiciels malveillants DanaBot.

Cette opération mondiale, qui s'inscrit dans le cadre de l' opération Endgame en cours, a conduit à l'inculpation fédérale de 16 personnes, à la neutralisation d'environ 300 serveurs et 650 domaines dans le monde entre le 19 et le 22 mai 2025, et à l'émission de mandats d'arrêt internationaux contre 20 cibles. Plus de 21,2 millions d'euros de cryptomonnaies ont également été saisis au total au cours de l'opération Endgame, dont 3,5 millions d'euros au cours de cette dernière semaine d'action.

Le malware DanaBot, contrôlé par une organisation cybercriminelle basée en Russie, a infecté plus de 300 000 ordinateurs dans le monde, causant des dommages estimés à au moins 50 millions de dollars par fraude et rançongiciel. Parmi les personnes inculpées par le ministère américain de la Justice figurent Aleksandr Stepanov, 39 ans, et Artem Aleksandrovich Kalinkin, 34 ans, tous deux originaires de Novossibirsk, en Russie, qui sont toujours en fuite.

DanaBot, identifié pour la première fois en mai 2018, fonctionnait comme un malware en tant que service (MaaS), louant ses fonctionnalités à d'autres criminels. Extrêmement polyvalent, il volait les identifiants bancaires, l'historique de navigation et même les informations des portefeuilles de cryptomonnaies, tout en offrant un accès à distance, l'enregistrement des frappes et l'enregistrement d'écran. Les premières infections provenaient souvent de spams. Hackread.com a notamment rapporté l'émergence de DanaBot en 2019, lorsque les chercheurs de Proofpoint ont détaillé pour la première fois sa propagation.

ESET, qui suit attentivement DanaBot depuis 2018, a confirmé son évolution vers un malware bancaire de premier plan, notant que des pays comme la Pologne, l'Italie, l'Espagne et la Turquie étaient historiquement parmi ses cibles les plus ciblées.

Tomáš Procházka, chercheur à l'ESET, a ajouté : « Outre l'exfiltration de données sensibles, nous avons observé que Danabot est également utilisé pour diffuser d'autres logiciels malveillants, qui peuvent inclure des rançongiciels, sur un système déjà compromis. »

Plus récemment, une nouvelle version de DanaBot a été découverte cachée dans des clés de logiciels piratés pour « VPN gratuit, logiciels antivirus et jeux piratés », trompant les utilisateurs qui téléchargeaient à partir de faux sites.

Au-delà de la criminalité financière, l'enquête a révélé le double objectif sinistre de DanaBot. Une variante, identifiée par CrowdStrike sous le nom de SCULLY SPIDER, ciblait des entités militaires, diplomatiques et gouvernementales en Amérique du Nord et en Europe à des fins d'espionnage. ESET a observé le lancement d'attaques DDoS contre des cibles comme le ministère ukrainien de la Défense après l'invasion russe.

Selon le communiqué de presse d'Europol, cette démolition massive témoigne d'une coopération internationale étroite. L'enquête a été menée par le bureau local d'Anchorage du FBI et le Service d'enquête criminelle de la Défense (DCIS), avec l'aide significative du Bundeskriminalamt allemand (BKA), de la police nationale néerlandaise et de la police fédérale australienne.

Europol et Eurojust ont assuré une coordination cruciale, avec un poste de commandement au siège d'Europol impliquant des enquêteurs du Canada, du Danemark, de la France, de l'Allemagne, des Pays-Bas, du Royaume-Uni et des États-Unis.

De nombreuses entreprises privées de cybersécurité ont fourni une assistance technique essentielle, notamment Amazon, CrowdStrike, ESET, Flashpoint, Google, Intel 471, Lumen, PayPal, Proofpoint , Team Cymru et ZScaler. ESET Research a spécifiquement contribué à l'analyse technique du malware et de son infrastructure back-end, ainsi qu'à l'identification des serveurs de commande et de contrôle de DanaBot.

Les autorités allemandes ajouteront 18 suspects à la liste des personnes les plus recherchées de l'UE à partir du 23 mai 2025. Cette action coordonnée constitue un coup dur pour les réseaux cybercriminels, montrant la puissance des partenariats mondiaux contre les menaces croissantes en matière de cybersécurité.

L'opération Endgame vise à briser la « chaîne de destruction des rançongiciels ». Jusqu'à présent, les autorités ont neutralisé les logiciels malveillants d'accès initial tels que Bumblebee , Latrodectus , Qakbot , Hijackloader , Trickbot et Warmcookie .