L’opération Sentinel a décrypté six souches de ransomwares, rompu les liens vers des milliers de sites Web malveillants et entraîné des centaines d’arrestations.
Un expert en ransomware a salué la récente répression contre les cybercriminels en Afrique qui a abouti au décryptage de six souches de ransomware, à la destruction de liens vers des sites Web malveillants et à des centaines d’arrestations comme une action majeure.
« Ce n’est peut-être pas le même titre que la suppression de LockBit, mais je pense que c’est important », a déclaré Jon DiMaggio, stratège en chef de la sécurité, Analyst1 et co-auteur d’un prochain livre sur la chasse aux gangs de ransomwares. « Étant donné que les forces de l’ordre ne peuvent pas arrêter les criminels russes utilisant des ransomwares, il est judicieux de se concentrer sur les régions du monde où nous pouvons faire la différence et attirer des gens. »
Il commentait la déclaration d’Interpol selon laquelle, dans le cadre de l’opération Sentinel, qui s’est déroulée entre le 27 octobre et le 27 novembre de cette année, les forces de l’ordre de 19 pays africains ont arrêté 574 suspects, décrypté six variantes de ransomware, supprimé 6 000 liens malveillants, démantelé une escroquerie de compromission de courrier électronique professionnel qui a presque coûté 7,9 millions de dollars à une grande société pétrolière et récupéré environ 3 millions de dollars.
Interpol n’a pas identifié les souches de ransomware décryptées. DiMaggio soupçonne qu’il s’agissait de variantes modifiées de souches disponibles sur les sites Web sombres.
Il est important de perturber les gangs avant qu’ils ne se développent
En décrivant l’opération, Interpol a cité les efforts déployés dans plusieurs pays. Au Ghana, une institution financière anonyme, qui a vu 100 To de ses données cryptées, était l’une des victimes. Les autorités ghanéennes ont mené une analyse avancée des logiciels malveillants qui a conduit à la création d’un outil de décryptage et à la récupération de près de 30 To de données.
Les autorités ghanéennes ont également démantelé un important réseau de cyberfraude opérant à travers le Ghana et le Nigeria, qui a escroqué plus de 400 000 dollars à plus de 200 victimes. À l’aide de sites Web et d’applications mobiles conçus par des professionnels, les escrocs ont imité des marques de restauration rapide bien connues, collectant les paiements mais ne livrant jamais les commandes. Dix suspects ont été arrêtés au Ghana, plus de 100 appareils numériques saisis et 30 serveurs frauduleux mis hors ligne.
Au Bénin, 43 domaines malveillants ont été supprimés et 4 318 comptes de réseaux sociaux liés à des stratagèmes d’extorsion et d’escroqueries ont été fermés, entraînant 106 arrestations. Et au Cameroun, les forces de l’ordre ont réagi rapidement après que deux victimes ont signalé une arnaque impliquant une plateforme de vente de véhicules en ligne. La campagne de phishing a été attribuée à un serveur compromis et un gel bancaire d’urgence a été émis en quelques heures.
Une « très bonne chose »
Le fait que la même opération ait brisé des opérations de ransomware et une opération de compromission de courrier électronique professionnel (BEC) est « unique », a déclaré DiMaggio, car la plupart des gens considèrent l’Afrique comme la source des escroqueries BEC et des fraudes.
Le fait que les autorités s’efforcent de perturber les opérations de ransomware en Afrique avant qu’elles n’atteignent l’ampleur de celles gérées par des gangs dans d’autres régions du monde « est une très bonne chose », a-t-il déclaré. L’Afrique est « quelques pas en retard par rapport à la scène russe des ransomwares », il est donc important de cibler les gangs là-bas maintenant avant qu’ils ne s’agrandissent, a-t-il déclaré.
L’interruption d’une opération BEC pourrait également être importante, a-t-il ajouté, car, dans l’ensemble, les escrocs du monde entier tirent plus d’argent des escroqueries par courrier électronique professionnel que des ransomwares, a déclaré DiMaggio.
Contenu connexe : Souche RansomHouse mise à niveau
L’Opération Sentinelle est la deuxième opération majeure de lutte contre la cybercriminalité en Afrique cette année. En août, Interpol a annoncé la deuxième étape de l’opération Serengeti, qui a vu l’arrestation de 1 209 personnes, le démantèlement de plus de 11 400 infrastructures informatiques malveillantes et la récupération d’un peu plus de 97 millions de dollars. Cette opération a également porté sur des cybercrimes à fort impact, notamment les ransomwares, les escroqueries en ligne et les escroqueries BEC.
Autres efforts d’application
Ces opérations faisaient partie des mesures importantes contre les acteurs menaçants à l’échelle mondiale en 2025.
L’Opération Endgame, un effort international continu de lutte contre les botnets coordonné par Europol, s’est attaqué aux acteurs malveillants abonnés au botnet à paiement par installation Smokeloader, a détruit quelque 300 serveurs derrière le malware utilisé pour distribuer le ransomware et, en novembre, a arrêté ou perturbé 1 025 serveurs, dont le botnet Elysium, le catalyseur du voleur d’informations Rhadamanthys et du cheval de Troie d’accès à distance VenomRAT.
Par ailleurs, les autorités des États-Unis, de la Finlande et des Pays-Bas se sont associées pour supprimer AVCheck, l’un des plus grands services anti-virus utilisés par les criminels du monde entier.
De plus, le groupe de partage de renseignements Five Eyes, composé des États-Unis, du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande, a accusé la Chine de soutenir des acteurs malveillants qui attaquent des infrastructures critiques dans un certain nombre de pays, et Microsoft a obtenu une ordonnance du tribunal lui permettant de saisir et de bloquer 2 300 domaines derrière la distribution d’un autre voleur d’informations, Lumma Stealer.
Contenu connexe : Créez un playbook de ransomware qui fonctionne
Une bataille difficile
Ed Dubrovsky, directeur des opérations de la société de réponse aux incidents Cypfer, a déclaré que le démantèlement de six souches de ransomwares était une bonne nouvelle. Mais, a-t-il ajouté, l’industrie de la cybercriminalité se concentre plus que jamais sur le vol de données plutôt que sur le cryptage des données et, dans certains cas, sur la destruction des données après le vol.
« Les mesures répressives contre la cybercriminalité revêtent une importance cruciale », a-t-il ajouté. « Sans un certain niveau de dissuasion, et compte tenu des avantages d’un point de vue financier et d’autres motifs, la cybercriminalité aurait été beaucoup plus répandue et aurait eu un impact beaucoup plus important.
« Cela dit, la cybercriminalité reste un marché de plusieurs milliards de dollars, et les forces de l’ordre souffrent de ressources limitées et d’une formation continue appropriée. Certains pays, comme les États-Unis, sont loin devant d’autres du point de vue de la sophistication et de l’efficacité… Les forces de l’ordre sont efficaces, en partie, et dans des domaines très spécifiques de la cybercriminalité, et dans d’autres domaines, l’efficacité est encore un travail en cours. «
Certains acteurs de la menace possèdent une grande expertise informatique, a-t-il ajouté, et tirent parti de l’IA. « Par conséquent, je pense que les forces de l’ordre obtiennent un impact considérable dans la réduction de la cybercriminalité tout en menant une bataille difficile. »
Les attaquants sont susceptibles d’étendre leurs efforts dans le monde entier
Christian Leuprecht, professeur d’université canadien et expert en sécurité nationale, cybercriminalité et blanchiment d’argent, a noté que la population de l’Afrique devrait doubler au cours des 25 prochaines années et qu’elle possède la structure démographique la plus jeune de tous les continents. La combinaison d’une main-d’œuvre hautement innovante et de plus en plus sophistiquée dans certains des pays les plus politiquement, économiquement et socialement non durables au monde est susceptible de générer une multitude d’acteurs de menace locaux sophistiqués luttant pour la survie économique et la prospérité, avec une portée potentiellement mondiale.
Pour l’instant, a-t-il expliqué, ils s’attaquent à des cibles locales, probablement parce qu’elles sont moins résistantes aux attaques et à l’exploitation. Mais à mesure que les entreprises locales renforcent leurs cyberdéfenses, ces acteurs de la menace basés en Afrique sont appelés à étendre leurs opérations à l’échelle mondiale.
Il est essentiel de renforcer les capacités locales de perturbation et de lutte contre ces acteurs de la menace, de manière plus efficace et proactive, pour les empêcher de prendre une ampleur mondiale, a-t-il déclaré.
« L’ampleur et la sophistication des cyberattaques à travers l’Afrique s’accélèrent, en particulier contre des secteurs critiques comme la finance et l’énergie », a déclaré Neal Jetton, directeur de la cybercriminalité d’Interpol, dans un communiqué. « Les résultats de l’Opération Sentinelle reflètent l’engagement des forces de l’ordre africaines, travaillant en étroite coordination avec des partenaires internationaux. Leurs actions ont réussi à protéger les moyens de subsistance, à sécuriser les données personnelles sensibles et à préserver les infrastructures critiques. »
L’Opération Sentinel a non seulement utilisé les ressources des forces de l’ordre, mais a également été aidée par les efforts de sociétés de cybersécurité, notamment Team Cymru, The Shadowserver Foundation, Trend Micro, TRM Labs et Uppsala Security.
