Europol, l’agence européenne de police criminelle, vient d’annoncer la destruction d’un botnet majeur, connu sous le nom d’Andromeda. Utilisé pour diffuser des malwares, il a infecté plus de 2 millions d’appareils dans de nombreux pays.
L’enquête a été orchestrée par Europol, l’organisme européen de partage d’informations de police criminelle, menée par les autorités de plusieurs pays, dont les Etats-Unis et l’Allemagne, avec l’aide de plusieurs acteurs privés, notamment Microsoft et Eset.
Plus de 60 familles de malwares
Cette opération d’envergure vient de s’achever par la découverte et le démantèlement d’un botnet, un réseau d’ordinateurs infectés diffusant divers malware. Connu sous le nom d’Andromeda, ce botnet a diffusé plus de 60 familles de logiciels malveillants différents, comme les rançongiciels Petya ou Cerber, ou de nombreux keyloggers.
Les opérateurs de ce botnet louaient leur service sur des places de marché illégales, et proposaient à des hackers une large diffusion de leurs logiciels malveillants. Une fois installé sur la machine, Andromeda pouvait « laisser passer » les malwares choisis par les cyberpirates, qui infectaient ensuite cette machine.
La méthode du « point d’eau » pour repérer les machines infectées
L’enquête a utilisé des informations récupérées lors du précédent démantèlement d’envergure par Europol, celui du botnet Avalanche en 2016. Elle s’est appuyée sur la technique du « point d’eau » (sinkhole) pour identifier les machines infectées : cette méthode consiste à prendre le contrôle de noms de domaine suspects et de repérer le trafic en leur direction.
Au total, plus de 2 millions d’adresses IP uniques ont été repérées comme infectées par Andromeda ; elles ont été nettoyée de tout logiciel malveillant, éteignant, de fait, l’activité du botnet. La surveillance des noms de domaine va se poursuivre encore un mois, pour identifier les dernières machines touchées. Europol déclare également avoir arrêté un suspect en Biélorussie, qui pourrait être à l’origine d’Andromeda.