Le dirigeant présumé du réseau, Denis K., a été appréhendé à Alicante dans le sud-est de l'Espagne, a indiqué le ministère espagnol de l'Intérieur dans un communiqué.
"C'était le cerveau d'un groupe de pirates informatiques qui prenaient le contrôle de systèmes d'entités bancaires, ce qui leur permettait de vider des distributeurs de billets à distance ou de modifier des comptes destinataires de virements de grande importance", selon le ministère.
Au total, "plus de 100 institutions financières dans 40 pays" ont été visées par ces actions de piratage, a indiqué l'agence européenne spécialisée dans la répression de la criminalité (Europol). Elle a estimé que "les pertes cumulées dépassaient le milliard d'euros pour le secteur financier".
Avec trois collaborateurs russes ou ukrainiens, ce cybervoleur en chef "avait pu accéder à pratiquement toutes les banques de Russie" et extraire de l'argent d'une cinquantaine d'entre elles, selon Madrid. Des établissements financiers de Biélorussie, d'Azerbaïdjan, du Kazakhstan, d'Ukraine et de Taïwan ont également été pris pour cibles.
Lire aussi : Cybercriminalité: les ""Faucons du désert"" ciblent des personnalités marocaines
Concrètement, ces pirates étaient capables de commander à distance des distributeurs automatiques de billets, qu'ils programmaient pour distribuer de l'argent à un moment précis. Des complices attendaient alors à côté de la machine pour empocher l'argent craché de force par le distributeur, a expliqué Europol dans son communiqué.
Selon Madrid, la mafia russe a aidé jusqu'en 2015 à récupérer l'argent aux distributeurs, puis à partir de 2016, c'est la mafia moldave qui en a été chargée... En Espagne, l'organisation avait attaqué au premier trimestre 2017 des distributeurs du centre de Madrid, réalisant des retraits frauduleux pour un demi-million d'euros.
Le groupe opérait depuis plus de cinq ans en se servant de logiciels malveillants de sa conception, de plus en plus sophistiqués, connus sous les noms de "Carbanak" et "Cobalt". Les cybervoleurs avaient l'habitude d'envoyer massivement à des employés de banque des courriels dotés d'une pièce jointe malveillante, en se faisant passer pour des entreprises légitimes.
Une fois téléchargé, ce logiciel malveillant leur permettait de contrôler à distance les ordinateurs infectés. Ils avaient alors accès au réseau bancaire interne et pouvaient ainsi infecter les serveurs contrôlant les distributeurs de billets. Chaque opération pouvait rapporter plus d'un million et demi de dollars en moyenne. Des bénéfices "immédiatement convertis en monnaie virtuelle" de type Bitcoin, permettant ensuite d'acheter des biens, dont des voitures de luxe et des maisons.
L'enquête -particulièrement complexe- a été menée par la police espagnole avec le soutien d'Europol, du Bureau fédéral d'enquête (FBI) américain, des autorités roumaines, biélorusses et taïwanaises ainsi que des sociétés de cybersécurité privées.
"C'est la première fois que la Fédération bancaire européenne (FBE) coopère activement avec Europol sur une enquête spécifique", a notamment déclaré le directeur général de la FBE, Wim Mijs, cité dans le communiqué d'Europol, valorisant "la coopération public-privé pour lutter efficacement contre les crimes transfrontaliers numériques".