L'organisation de police européenne Europol et le ministère américain de la Justice ont annoncé l'opération lors d'une conférence de presse tenue à La Haye, où se situe le quartier général d'Europol. Les services de police parlent d'un ''réseau cybercriminel organisé, complexe, opérant à l'échelle mondiale''. Plusieurs personnes ont été appréhendées. Cinq suspects russes sont encore en fuite.

Cybercrime-as-a-Service

La bande insérait de la publicité pour ses services sur des forums en ligne et était, selon Europol, un exemple type de 'Cybercrime-as-a-Service'. Elle proposait ainsi notamment de l'hébergement, en plus de l'exploitation de réseaux de blanchiment, d'auteurs de spam, d'encodeurs, de cryptographes, mais aussi du support technique.

Le présumé chef du gang est un Géorgien de 35 ans. Il sera poursuivi dans ce pays, tout comme son présumé bras droit, un Kazakhe de 31 ans. L'homme qui aurait conçu le malware, est mis en accusation en Moldavie. Quant à l'Ukraine, elle poursuivra le gestionnaire du serveur, d'où GozNym a été envoyé. Il aurait veillé à ce que le logiciel mal intentionné reste actif. Dix autres personnes sont accusées aux Etats-Unis et deux en Allemagne. Les suspects sont accusés de vol et de pratiques de blanchiment.

GozNym

Le principal outil utilisé par la bande est un malware appelé GozNym. Il a été exploité, afin de mettre la main sur quelque 90 millions d'euros chez plus de 40.000 victimes. Le maliciel était diffusé par des mails de hameçonnage (phishing) et essayait, une fois installé, de dérober les noms d'utilisateur et mots de passe pour des opérations de banking en ligne. De l'argent était ensuite retiré des comptes, puis blanchi.

GozNym est un malware hybride composé de deux éléments: Nymaim et Gozi. Le premier a été conçu pour infiltrer les ordinateurs. Jusqu'en 2015, Nymaim a par exemple été utilisé principalement pour contaminer des cibles au moyen de ransomware (rançongiciel). Le second élément, Gozi, existe depuis 2007 environ et contient une série de technologies en vue de voler des données bancaires. La combinaison des deux rend le maliciel particulièrement efficient. Le maliciel GozNym a été décelé pour la première fois en 2016 et parvient à contourner les logiciels de sécurité en cryptant son code et ses données.