Le principal logiciel « voleur de mots de passe » neutralisé par Microsoft et Europol

Europol, l'agence européenne de police et Microsoft, annoncent, ce 21 mai, un coup de force contre un programme phare de la cybercriminalité, Lumma Stealer. Ce logiciel malveillant, disponible sur le marché noir, permet de dérober tous les identifiants et les codes enregistrés dans le gestionnaire de mot de passe. Le plus souvent, les victimes, des particuliers ou des entreprises, l'installent par mégarde, à travers un mail piégé. De nombreuses entreprises perdent ainsi l'accès à tous leurs mots de passe ainsi que leur compte Google ou Outlook après avoir subi ce piratage.

Microsoft aurait identifié plus de 394 000 ordinateurs Windows infectés par le malware Lumma à travers le monde, entre le mois de mars et de mai. « L'unité de lutte contre la cybercriminalité de Microsoft, Europol et des partenaires internationaux ont démantelé l'infrastructure technique de Lumma, coupant les communications entre cet outil malveillant et ses victimes » peut-on lire dans le communiqué.

La France particulièrement ciblée par ce logiciel

Microsoft note que les mails déployant ce logiciel peuvent prendre diverses formes. Les experts en cybersécurité ont identifié une campagne de phishing usurpant l'agence de voyages en ligne Booking.com. Ces messages sont souvent envoyés avant les périodes de vacances pour piéger les particuliers ou les professionnels du tourisme.

Les services de communication et de marketing des entreprises peuvent également être ciblés avec de faux mails de partenariats. Une carte avec l'emplacement des victimes partagées par Microsoft montre que l'Europe de l'Ouest, et notamment la France, sont particulièrement visées par les cybercriminels.

Les administrateurs de ce logiciel malveillant seraient installés en Russie d'après Microsoft. Si leur arrestation demeure peu probable en raison du refus persistant du Kremlin d'extrader les personnes recherchées, ces opérations permettent néanmoins de neutraliser l'infrastructure technique qui alimente une partie du cybercrime international.

À noter que ces programmes sont aujourd'hui vendus en location sur des chaînes du réseau social Telegram, comme le ferait une entreprise légitime, ce qui démontre un certain niveau de démocratisation du cybercrime.

Ces outils constituent souvent la porte d'entrée du cybercrime : ils permettent de dérober des identifiants, revendus ensuite à d'autres groupes malveillants chargés de mener des attaques de plus grande envergure, capables de paralyser des systèmes entiers. Selon les données du groupe américain de cybersécurité, Lumma est effectivement le logiciel malveillant le plus populaire.

Contacté par La Tribune, Selena Larson, experte en cybersécurité chez Proofpoint estime que « le démantèlement de ce logiciel aura un impact positif sur le paysage des menaces. Les acteurs malveillants pourraient se méfier d'acheter de tels outils à l'avenir, ou de travailler avec les criminels associés à ce logiciel malveillant. Et il est possible qu'un autre produit qui le remplace n'ait pas les mêmes caractéristiques, fonctionnalités ou facilité d'utilisation. Nous avons déjà constaté que les perturbations de malwares ont des impacts significatifs sur le paysage avec des disparitions définitives du programme dans les campagnes de mail ». Et si un autre programme venait à ressurgir, cette opération a au moins le mérite d'offrir un répit temporaire.