Les ransomwares, les fuites de données, les pirates planqués derrière leur écran… c’est souvent ce qui attire l’attention. Mais derrière ces attaques, il existe tout un écosystème d’outils techniques bien rôdés. C’est justement l’un d’entre eux, baptisé AVCheck, qui vient d’être mis hors service par les autorités. 405c13
Cette plateforme en ligne permettait aux cybercriminels de tester leurs logiciels malveillants contre des dizaines d’antivirus avant de les lancer dans la nature. Autrement dit, un terrain d’entraînement idéal pour contourner les protections. Son démantèlement s’inscrit dans une vaste opération internationale baptisée Endgame, qui vise à désorganiser l’infrastructure des groupes malveillants en ciblant les services qui leur permettent de peaufiner leurs attaques.
AVCheck : un service discret mais stratégique 65582k
AVCheck n’était pas un malware, ni une boutique du dark web, mais un service tout ce qu’il y a de plus accessible. Son rôle ? Permettre aux cybercriminels de soumettre leurs malwares à une batterie d’antivirus grand public pour voir s’ils aient entre les mailles du filet. Un outil pensé pour ajuster, corriger et peaufiner les attaques avant leur diffusion.
Contrairement aux services gratuits comme VirusTotal, qui partagent les échantillons avec les éditeurs de sécurité, AVCheck jouait la carte de la discrétion. Pas de partage automatique, pas d’analyse communautaire. Ainsi, les malwares testés dessus avaient beaucoup plus de chances de er inaperçus au moment du vrai lancement.
C’est cette capacité à offrir une zone de test confidentielle qui en faisait un outil très recherché dans les cercles malveillants, notamment pour les campagnes de ransomware à grande échelle.
Une opération internationale coordonnée 134r2b
Le démantèlement d’AVCheck ne s’est pas fait en un claquement de doigts. Il s’inscrit dans une action de grande ampleur baptisée Endgame, menée contement par plusieurs agences internationales : Europol, le FBI, la police néerlandaise, finlandaise, allemande et d’autres partenaires. Cette opération visait à perturber les outils techniques utilisés par les cybercriminels pour concevoir et affiner leurs attaques.
Dans le cas d’AVCheck, les enquêteurs ont misé sur la discrétion. Avant de couper l’accès au service, ils ont installé une fausse page de connexion, affichant un message dissuasif destiné à ceux qui tentaient de s’y connecter. Une manière subtile de collecter des données tout en semant le doute chez les utilisateurs.
Des agents infiltrés ont également accédé à la plateforme pour effectuer des tests et suivre les transactions. Cette méthode a permis de remonter plus facilement jusqu’aux personnes derrière le service, sans éveiller les soupçons.
Un réseau plus large dans le viseur 4ab37
AVCheck n’était pas seul dans l’équation. L’enquête a également mis en lumière plusieurs services satellites, tous liés de près ou de loin à l’optimisation et à la dissimulation de logiciels malveillants. Parmi eux, Cryptor.biz et Crypt.guru, deux plateformes spécialisées dans le chiffrement de malwares pour les rendre indétectables.
Ces services proposaient ce qu’on appelle des « cryptors » : des outils capables d’enrober un malware dans plusieurs couches de camouflage, suffisamment pour tromper les antivirus sans compromettre le fonctionnement de la charge utile. Très populaires dans les forums spécialisés, ils étaient souvent utilisés en tandem avec AVCheck pour affiner les attaques jusqu’à ce qu’elles soient prêtes à être lancées.
Les autorités ont également saisi plusieurs noms de domaine associés et interrompu les communications entre ces services. Un coup de frein net à un petit écosystème bien rodé, qui alimentait depuis des années les campagnes malveillantes dans le monde entier.
Frapper l’infrastructure plutôt que les exécutants 4i1e5d
Ce type d’intervention marque un changement de stratégie de la part des autorités. Plutôt que de courir après chaque groupe de hackers individuellement, les forces de l’ordre s’attaquent désormais aux services techniques qui rendent leurs attaques possibles. Et visiblement, la méthode porte ses fruits.
Avec AVCheck hors service, et d’autres plateformes associées neutralisées, une partie de l’arsenal des cybercriminels vient de disparaître. Cela ne les empêchera sans doute pas de rebondir ailleurs, mais chaque perturbation de ce genre complique leur organisation et ralentit la préparation des attaques.
L’opération Endgame aura permis de saisir plus de 300 serveurs et 650 domaines liés à des activités malveillantes. Et selon les autorités, ce n’est qu’un début. Ce type d’action ciblée devrait se multiplier dans les mois à venir, avec l’objectif de désorganiser durablement l’écosystème des ransomwares.
Source : Bleeping Computer, U.S. Department of Justice, Politie.nl
