Le réseau international de hackers DoppelPaymer aurait endommagé au moins 601 entreprises, institutions et particuliers.
Des enquêteurs de Rhénanie du Nord-Westphalie, en coopération avec Europol, le Federal Bureau of Investigation (FBI), les polices néerlandaise et ukrainienne, ont réussi à frapper un réseau international de pirates. La commission d’enquête spécialement mise en place par Parker a réussi à identifier les cerveaux et autres membres du groupe de rançongiciels « DoppelSpider »/ »DoppelPaymer ».
Selon l’Office national de la police criminelle de Rhénanie du Nord-Westphalie, les membres de DoppelPaymer sont accusés de chantage commercial, numérique et de sabotage informatique. Utilisation de rançongiciels (BitPaymer, DoppelPaymer, PayOrGrief, Entropy) « Les auteurs ont obtenu un accès numérique aux ordinateurs des entreprises concernées, ont exploité des données puis ont menacé de les utiliser de manière abusive, combinées à des demandes d’argent ».
DoppelPaymer a fait chanter plus de 600 victimes dans le monde. Le groupe s’est formé en 2010. Au départ, ils sont entrés sur la scène du jeu avec un logiciel de chantage. Leur première attaque connue remonte à mai 2017 contre le système de santé du Royaume-Uni.
Le groupe de rançongiciels DoppelPaymer a également fait chanter les hôpitaux
En Allemagne était DoppelPaymer « Responsable de l’extorsion de l’hôpital universitaire de Düsseldorf, des cyberattaques contre le groupe de médias Funke et d’autres entreprises bien connues en 2020 ».
L’attaque de la clinique universitaire de Düsseldorf en 2020 a largement paralysé les opérations de la clinique à l’époque. En plus de la fermeture des urgences, une patiente d’urgence a dû être transportée dans un hôpital plus éloigné à Wuppertal, où elle est décédée plus tard. Cependant, les enquêtes sur les homicides involontaires ont été abandonnées.
Un porte-parole d’Europol a souligné dans ce contexte :
« Les attaques contre les infrastructures critiques sont un jeu de vie ou de mort. »
Selon Europol, les autorités allemandes ont connaissance de 37 victimes de ce groupe de rançongiciels, dont le district d’Anhalt-Bitterfeld en Saxe-Anhalt. Le district a alors déclaré un désastre. De plus, il existe une « très, très grand champ sombre ».
Les pirates ont collecté des montants exorbitants de rançon
À l’époque, les chercheurs en sécurité de TrendMicro ont annoncé que le groupe de pirates avait exigé des sommes importantes comprises entre 25 000 et 1,2 million de dollars américains des victimes pour leur logiciel de décryptage de fichiers. Aux États-Unis, les victimes ont payé au moins 40 millions d’euros entre mai 2019 et mars 2021. Si la rançon n’était pas payée, DoppelPaymer menaçait de publier les données en ligne.
Le groupe de hackers à l’origine de ce ransomware s’appuyait sur un double système de ransomware. Ils ont également lancé un site Web de fuite au début de 2020. Les pirates ont propagé le ransomware par différents canaux. Ceux-ci comprenaient des e-mails de phishing et de spam avec des pièces jointes contenant du code malveillant, JavaScript ou VBScript.
Les enquêtes contre DoppelPaymer sont en cours depuis juin 2020. Enfin, la commission d’enquête (EK) « Parker » issue des rangs des spécialistes de la cybercriminalité de la LKA NRW, spécialistes de la cybercriminalité de la LKA NRW, membres du groupe de rançongiciels « DoppelSpider » / » DoppelPaymer » a réussi à identifier.
Des perquisitions ont été menées à Düsseldorf et en Ukraine
Dans le cadre d’une campagne ciblée le mardi 28 février 2023, l’EK « Parker » a fouillé plusieurs propriétés en NRW. Dans le même temps, les enquêteurs ukrainiens ont pris des mesures contre les membres identifiés du réseau.
Selon tagesschau.de, 11 membres ont été spécifiquement identifiés qui auraient payé des montants différents pour les crimes. Huit d’entre eux ont été retrouvés lors de perquisitions domiciliaires, mais n’ont pas été arrêtés. Europol a rapporté :
« Au cours des actions simultanées, des officiers allemands ont perquisitionné le domicile d’un ressortissant allemand soupçonné d’avoir joué un rôle important dans le groupe de rançongiciels DoppelPaymer. Les enquêteurs analysent actuellement les appareils confisqués pour déterminer le rôle exact du suspect dans la structure du groupe de rançongiciels.
Dans le même temps, et malgré la situation sécuritaire extrêmement difficile dans laquelle se trouve actuellement l’Ukraine en raison de l’invasion russe, des policiers ukrainiens ont interrogé un ressortissant ukrainien qui est également soupçonné d’être membre du noyau dur de DoppelPaymer.
Les responsables ukrainiens ont fouillé deux endroits, l’un à Kiev et l’autre à Kharkiv. Au cours des perquisitions, ils ont saisi du matériel électronique qui fait actuellement l’objet d’un examen médico-légal. »
En outre, la ZAC NRW a émis des mandats d’arrêt contre les cerveaux présumés du groupe de hackers DoppelPaymer ayant des liens avec la Russie. Cependant, ceux-ci n’auraient pas pu être appliqués. Les suspects n’étaient pas à la portée des autorités judiciaires européennes.
Les auteurs ont entre 32 et 41 ans. L’un des suspects, un Russe de 41 ans, est également recherché par le FBI. L’agence lui a offert une récompense de 5 millions de dollars.
Des suspects ont atterri sur la liste des « personnes les plus recherchées d’Europe »
Les forces de l’ordre recherchent actuellement des mandats d’arrêt dans le monde entier contre trois suspects. Ils figurent également sur la liste d’Europol des suspects les plus recherchés « les plus recherchés d’Europe »:
«Igor Olegovich Turashev est soupçonné d’avoir joué un rôle majeur dans les cyberattaques contre des entreprises allemandes. La personne recherchée a agi en tant qu’administrateur de l’infrastructure informatique et des logiciels malveillants utilisés pour les attaques.
Selon les enquêtes en cours, Irina Zemlianikina est également co-responsable de plusieurs cyberattaques contre des entreprises allemandes. Elle a notamment administré les sites de chat et de fuite utilisés par les auteurs pour communiquer avec leurs victimes et publier des données volées. Il a également envoyé des e-mails contenant des logiciels malveillants pour infecter les systèmes exécutant un logiciel de cryptage.
Igor Garshin (alternativement : Garschin) est soupçonné d’être l’un des principaux responsables des cyberattaques, notamment contre des entreprises allemandes, par l’espionnage, l’infiltration et le cryptage final des données. Exécuter simultanément des mandats de perquisition en Allemagne et en Ukraine. »
Markus Hartmann, directeur de ZAC NRW, souligne :
« Le procès montre que la cybercriminalité est un crime international – tant de la part de l’auteur que de la victime. Les criminels attaquent les infrastructures du monde entier pour extorquer des rançons pour les données. Cependant, le succès de l’enquête actuelle montre également que nous, en tant que procureurs, sommes capables d’agir au niveau international. […]
« Le terme attaque de pirate informatique est en fait une banalisation de ce qui s’est passé. » Vous faites affaire avec le crime organisé structuré.
Ingo Wünsch, directeur du LKA, insiste sur la nécessité de se protéger contre les cyberattaques :
« Les criminels peuvent être sûrs que la lutte contre ce crime ne s’arrête pas aux frontières, mais se déroule au-delà des frontières – c’est-à-dire au niveau international. Les entreprises, les institutions et les autorités doivent protéger leur monde numérique, ce qui signifie non seulement sécuriser des portails et des portes d’accès factuellement compréhensibles et vulnérables, mais également des portails et des portes numériques ! »
Le directeur pénal Dirk Kunze, chef du département 42 du département des enquêtes sur la « cybercriminalité », conseille aux victimes de déposer une plainte pénale :
« Dans le cadre de nos responsabilités et de notre sécurité, nous aidons les entreprises à faire face aux attaques et à réduire la propagation des dégâts. Cependant, un crime non signalé protège les auteurs et n’a pas eu lieu dans la perception.
Les liens de DoppelPaymer avec les services secrets russes FSB et le groupe de mercenaires Wagner
Selon le Tagesschau, le ministre de l’Intérieur de NRW, Reul, a évoqué les liens entre le groupe de hackers DoppelPaymer et les services secrets nationaux russes FSB et le groupe de mercenaires paramilitaires Wagner :
« Nous voyons également des liens avec les services secrets nationaux russes FSB et le groupe de mercenaires paramilitaires Wagner chez les individus de ce groupe d’auteurs. » Cela provient de sources accessibles au public. Plus précisément, il s’agit d’un concours de hackers organisé par le groupe Wagner, auquel a participé l’un des principaux suspects.
Il y a une autre partie impliquée « Contacts familiaux avec un ancien employé de haut rang du service de renseignement intérieur russe. » De là, le politicien de la CDU en tire la conclusion que les indices se multiplient « un argument où les institutions étatiques jouent un rôle ». Ce n’est « pas tout à fait nouveau, mais relativement clair à saisir maintenant ».