Le cerveau de cybercasses d'environ un milliard d'euros arrêté en Espagne

C'est sans doute le responsable d'une des plus vastes séries de cyberattaques ayant volé des banques que vient d'arrêter la police espagnole. Selon Europol, le suspect ukrainien (Denis K.) arrêté à Alicante, dans le sud de l'Espagne, est le cerveau d'un gang ayant mené des attaques à base de logiciels malveillants sur les systèmes informatiques d'une centaine d'institutions financières dans 40 pays, leur causant un préjudice d'un milliard d'euros au total.

Les cyberpirates, qui ont braqué par informatique et à distance des distributeurs de billets, ont sévi depuis 2013. Leurs "armes" étaient des logiciels malveillants connus sous le nom de Carbanak et Cobalt. Selon Europol, l'ampleur des pertes subies par les institutions financières est significative: le logiciel Cobalt, à lui seul, aurait permis de voler jusqu'à 10 millions d'euros par cyberattaque. Selon la carte d'Europol (cf ci-dessous), rien que dans l'UE, des banques en Espagne, Belgique, Pologne, Royaume-Uni, Roumanie, République Tchèque et Bulgarie ont été victimes du malware Cobalt.

L'importance des pertes subies par les banques vient du fait que les logiciels malveillants ont attaqué leurs systèmes de transferts électroniques de fonds et leur réseau informatique interne pilotant leurs distributeurs de billets.

Pour toutes ces attaques, un même mode opératoire a été utilisé, selon Europol. Les pirates ont employé la technique du phishing par laquelle sont envoyés aux salariés des banques visées, des courriels assortis d'une pièce jointe malveillante. Ces emails usurpaient l'identité d'une institution ou d'un organisme légitime pour que le destinataire soit trompé et clique sur le document joint. 

Une fois téléchargé, le logiciel malveillant s'installait subrepticement sur les PC et permettait aux criminels de contrôler à distance les machines infectées des victimes, leur donnant accès au réseau bancaire interne et infectant les serveurs contrôlant les guichets automatiques et distributeurs de billets.

Contrôlés à distance par les cyberpirates, les guichets et distributeurs automatiques de billets ont reçu l'ordre de distribuer à une heure précise tout leur argent, qu'un complice se chargeait de récupérer au même moment.

L'argent était blanchi via des cartes prépayées associées à de la cryptomonnaie

Parallèlement, les pirates ont détourné le réseau interne de paiement électronique pour transférer indûment de l'argent des banques vers des comptes gérés par le gang. Les bases de données contenant des informations sur les comptes ont été aussi modifiées, de sorte que le solde des comptes bancaires piratés étaient gonflés au profit des cyberpirates qui mandataient de petites mains pour collecter cet argent sur les distributeurs de billets.

L'argent dérobé était ensuite blanchi au moyen de cartes prépayées liées aux portefeuilles de crypto-monnaie qui servaient à l'achat de voitures de luxe et de maisons.

L'arrestation du cerveau de la bande organisée a été le fruit d'une coopération policière internationale coordonnée par Europol et le groupe d'action conjoint sur la cybercriminalité.