Sur la piste des hackers du redoutable ransomware "GandCrab" 12h00 , le 23 juin 2019

La PJ parisienne vient de saisir en Bulgarie un serveur informatique utilisé par les développeurs de "GandCrab", un redoutable ransomware (logiciel malveillant rançonneur). Une enquête planétaire sur laquelle plane l’ombre d’un cyber gendarme soupçonné de corruption sur le Darknet.

Les ransomware prennent en otage vos données personnelles en les cryptant via un virus introduit dans votre ordinateur. Seule solution : payer une rançon pour récupérer ses données. (Sipa)

"Toutes les bonnes choses ont une fin." Ces gens-là manient l’humour et les gros sous. Tout ce que l’on sait d’eux, c’est qu’ils sont probablement russes, champions du monde de virologie informatique et… très riches. Dans un message rendu public début juin sur un forum spécialisé du Darknet, ces mystérieux hackers ont annoncé qu’ils prenaient une "retraite bien méritée" après avoir réussi à blanchir 150 millions de dollars emmagasinés grâce à leur logiciel malveillant "GandCrab", un redoutable ransomware (logiciel rançonneur).

Lire aussi - Cybercriminalité : un nouvel outil contre l'e-escroquerie

Véritable mise au vert en perspective d’une vie de nabab ou retraite stratégique parce que l’étau policier se resserrait trop? Le service spécialisé parisien de la Befti (Brigade d'enquêtes sur les fraudes aux technologies de l'information) vient en effet de saisir cette semaine à Sofia en Bulgarie un de leur serveur informatique.

"Intelligent", il adapte le montant de la rançon en fonction de la quantité de données infectées

"GandCrab" : ce "rançongiciel" est apparu en janvier 2018. Il s’est très vite imposé comme le plus agressif sur le marché mondial du racket à distance au point de représenter jusqu’à 50% des attaques de ce type dans le monde en 2018.

Classique de la cyberdélinquance, les ransomware - comme Petya, WannaCry, EternalBlue ou NotPetya dans un passé récent - sont des logiciels malveillants qui prennent en otage vos données personnelles en les cryptant via un virus introduit dans votre ordinateur par mail ou lors d’une sauvegarde. Seule solution : payer une rançon pour obtenir la clé de déchiffrement et récupérer ses données.

"GandCrab" est encore plus perfectionné que ces prédécesseurs. "Intelligent", il adapte par lui-même le montant de la rançon en fonction de la quantité de données infectées : de quelques centaines de dollars pour un particulier privé de ses photos de vacances à plusieurs dizaines de milliers de dollars pour une grosse entreprise.

Jusqu’à 700.000 dollars selon la société roumaine de cybersécurité Bitdefender qui, associée à différents services de police (Europol, FBI américain, NCA britannique, BEFTI française…), s’est engagée dans une course contre la montre avec ces pirates du net pour fournir gratuitement au public des clés de déchiffrement disponibles sur le site www.nomoreransom.org.

Plusieurs millions d’ordinateurs touchés à travers le monde sauf en Russie

Depuis une semaine, Bitdefender affirme être parvenu à contrer la quatrième et dernière version mise au point par les développeurs de "GandCrab". Toujours selon Bitdefender, quelque 30.000 victimes ont ainsi déjà pu récupérer leurs données, privant les rançonneurs de plus de 50 millions de dollars de recettes.

Autre particularité des créateurs de "GandCrab", ceux-ci ne se salissaient pas les mains directement dans le racket. Leur business model s’apparente plus à la mise à disposition de leur ransomware sur le Darknet en échange d’une commission de 40% sur le fruit des rançons obtenues.

Lire aussi - Comment la police lutte contre la cybercriminalité

Ce qui leur permet d’avancer qu’ils ont fait gagner plus de 2 milliards de dollars en un an à leurs clients actifs sur tous les continents. Plusieurs millions d’ordinateurs de par le monde auraient ainsi été infectés, aussi bien en Chine qu’aux Etats-Unis, en Inde comme en Corée du Sud, sans oublier l’Europe mais à l’exception notable de la Russie… Les rançons ont d’abord été réclamées dans une nouvelle cryptomonnaie nommé Dash. "Mais ils ont rapidement étendu les possibilités de paiement en Bitcoin, beaucoup plus accessible", indique une source policière à La Haye.

L’ombre d’un cyber gendarme français soupçonné de corruption

En collaboration avec l’agence européenne de coopération policière Europol, c’est la Befti (Brigade d'enquêtes sur les fraudes aux technologies de l'information) qui a été saisie par le parquet de Paris pour conduire depuis juillet 2018 l’enquête contre "GandCrab" qui compterait plus de 7.000 victimes en France. Avec succès puisque c’est ce service qui a réussi à localiser un serveur utilisé par les hackers.

Placé un temps sous surveillance, ce "super ordinateur" a été saisi en début de semaine par les enquêteurs parisiens à l’occasion d’une mission à Sofia en Bulgarie conduite avec un spécialiste anglais et des policiers bulgares. "Il est en cours d’exploitation", confirme la direction de la PJ parisienne qui espère pouvoir remonter des connexions intéressantes, voire des adresses IP malgré le système d’anonymisation sensé le protéger.

Une ombre plane malgré tout sur cette enquête. Elle porte l’uniforme d’un cyber gendarme français placé en garde à vue depuis jeudi. Rien n’a filtré sur ce qui est reproché à ce militaire en poste au centre de lutte contre les criminalités numériques (C3N), une unité d’élite de la gendarmerie, sinon qu’il est soupçonné d’avoir monnayé des informations sensibles sur le Darknet.

"Il avait accès à tout", s’inquiète un policier spécialisé. Et notamment au dossier "GandCrab" puisque, selon plusieurs sources concordantes, le suspect était présent à La Haye, siège d’Europol aux Pays-Bas, lors des réunions consacrées aux derniers développement de l’enquête.