Sur les 6 derniers mois, le botnet Gamarue a été détecté sur près d'un million de systèmes chaque mois, en moyenne. Plus connu sur le dark net sous le nom d'Andromeda, cet hyper-diffuseur de code malveillant était vendu sous forme de kit sur les forums clandestins. Il permettait à son utilisateur de créer un bot, pilotable via une simple interface PHP, qui s’implantait grâce à un code « discret » pour échapper à certains mécanismes de contrôle et de détection.

Gamarue / Andromeda serait à l'origine de la diffusion de plus de 80 familles de malwares comprenant des ransomwares, des chevaux de Troie, des outils de fraude et autres codes nécessaires aux auteurs d'attaques DDoS. Selon l'outil de mesure de l'antivirus Windows Defender, les pays asiatiques ont été les plus touchés par Gamarue, entre mai et novembre dernier.

L'Inde a été le pays le plus affecté par Gamarue avec près de 800 000 attaques en six mois (source : blogs.technet.microsoft.com)

Les autorités internationales ont travaillé de concert pour démanteler ce bot. Europol, Interpol et le FBI ont collaboré avec neuf pays européens dont la France et une dizaine d’autres Etats dont l'Australie, Singapour et Taïwan - au total une quinzaine de pays - afin de venir à bout de Gamarue. Steven Wilson, directeur du Centre du cybercrime à Europol, confirme que cette collaboration « est un nouvel exemple de partenariat entre les autorités internationales et les entreprises pour s’attaquer aux cyber-criminels les plus puissants. […] Il est clair que les partenariats public-privé peuvent affecter ces criminels et rendre Internet plus sûr pour tout le monde. »

Deux ans de traque

Les forces de polices internationales ont obtenu l’aide d’Eset et de Microsoft dans leurs investigations. Les deux sociétés ont fourni leurs recherches sur Gamarue/Andromeda aux autorités. Et les chercheurs d’Eset ont révélé que le malware était distribué dans le monde entier via les réseaux sociaux, la messagerie instantanée, des supports amovibles, des campagnes de spam ou encore des kits d'exploitation de menaces. Microsoft a rendu aux enquêteurs une analyse détaillée de l’infrastructure de Gamarue. C’est le 29 novembre que le botnet a finalement été démantelé, après deux ans de traque.