Selon Europol, c’est la plus grande opération menée contre les botnets.

« Entre le 27 et le 29 mai 2024, l’opération Endgame, coordonnée depuis le siège d’Europol, a ciblé des droppers parmi lesquels IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot.» indique l’agence européenne de police criminelle.

Pour démanteler ces diffuseurs de malwares, c'est une coopération de grande envergure qui s'est jouée. Initiée et dirigée par la France, l'Allemagne et les Pays-Bas, l'opération Endgame a impliqué le Danemark, le Royaume-Uni et les États-Unis ; avec le soutien de l’Arménie, de la Bulgarie, de la Lituanie, du Portugal, de la Roumanie, de la Suisse et de l’Ukraine. Chacun aurait diligenté

« différentes actions, telles que des arrestations, des interrogatoires de suspects, des perquisitions et des saisies ou suppressions de serveurs et de domaines.» précise Europol.

Les droppers IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee et Trickbot démantelés

Eurojust, l'agence européenne chargée de renforcer la coopération judiciaire entre les États membres, a également été impliquée « en créant un centre de coordination à son siège pour faciliter la coopération judiciaire entre toutes les autorités impliquées.»

Plusieurs acteurs du marché cyber, notamment Bitdefender, Sekoia et Proofpoint, ont aussi contribué.

Côté bilan, Europol affiche les données : 4 arrestations (1 en Arménie et 3 en Ukraine) 16 recherches de localisation (1 en Arménie, 1 aux Pays-Bas, 3 au Portugal et 11 en Ukraine) et plus de 100 serveurs arrêtés ou perturbés en Bulgarie, Canada, Allemagne, Lituanie, Pays-Bas, Roumanie, Suisse, Royaume-Uni, États-Unis et Ukraine. Enfin, plus de 2 000 domaines sont désormais sous le contrôle des forces de l'ordre.



Par ailleurs, Europol indique avoir trouvé 69 millions € en cryptomonnaies, fruit de la location de l'infrastructure de diffusion des malwares et ransomwares.

L'opération a été coordonnée depuis le siège d'Europol. « Cette approche a eu un impact global sur l’écosystème droppers. Le malware, dont l'infrastructure a été détruite pendant les journées d'action, a facilité les attaques avec des ransomwares et d'autres logiciels malveillants .» affirme l'agence.

Images : © Europol