Les États-Unis démantèlent le botnet QakBot qui affecte 700 000 ordinateurs

Selon The Hacker News , QakBot est une souche de malware Windows notoire qui aurait compromis plus de 700 000 ordinateurs dans le monde et faciliterait la fraude financière ainsi que les ransomwares.

Le ministère américain de la Justice (DoJ) a déclaré que le logiciel malveillant était en train d'être supprimé des ordinateurs des victimes, l'empêchant de causer d'autres dommages, et les autorités ont saisi plus de 8,6 millions de dollars en cryptomonnaie illicite.

L'opération transfrontalière, qui a impliqué la France, l'Allemagne, la Lettonie, la Roumanie, les Pays-Bas, le Royaume-Uni et les États-Unis, avec le soutien technique de la société de cybersécurité Zscaler, a été la plus grande répression menée par les États-Unis contre l'infrastructure de botnet utilisée par les cybercriminels, bien qu'aucune arrestation n'ait été annoncée.

QakBot, également connu sous les noms de QBot et Pinkslipbot, a débuté ses activités en tant que cheval de Troie bancaire en 2007 avant de devenir une plateforme de distribution de logiciels malveillants sur les machines infectées, notamment des rançongiciels. Parmi les rançongiciels de QakBot figurent Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta. Les opérateurs de QakBot auraient reçu environ 58 millions de dollars de rançons de la part de leurs victimes entre octobre 2021 et avril 2023.

Souvent diffusé par e-mails de phishing, ce malware modulaire est doté de capacités d'exécution de commandes et de collecte d'informations. QakBot a été constamment mis à jour tout au long de son existence. Le Département de la Justice a déclaré que les ordinateurs infectés par ce malware faisaient partie d'un botnet, ce qui signifie que les pirates pouvaient contrôler à distance tous les ordinateurs infectés de manière coordonnée.

Selon les documents judiciaires, l'opération a accédé à l'infrastructure de QakBot, ce qui lui a permis de rediriger le trafic du botnet via des serveurs contrôlés par le FBI, dans le but ultime de neutraliser la chaîne d'approvisionnement des criminels. Les serveurs ont demandé aux ordinateurs compromis de télécharger un programme de désinstallation conçu pour supprimer les machines du botnet QakBot, empêchant ainsi la distribution de nouveaux composants malveillants.

QakBot a fait preuve d'une sophistication croissante au fil du temps, adaptant rapidement ses tactiques pour s'adapter aux nouvelles mesures de sécurité. Après que Microsoft a désactivé les macros par défaut dans toutes les applications Office, le malware a commencé à utiliser les fichiers OneNote comme vecteur d'infection plus tôt cette année.

La sophistication et l'adaptabilité résident également dans l'utilisation de multiples formats de fichiers, tels que PDF, HTML et ZIP, dans la chaîne d'attaque de QakBot. La majorité des serveurs de commande et de contrôle du malware sont situés aux États-Unis, au Royaume-Uni, en Inde, au Canada et en France, tandis que l'infrastructure dorsale serait située en Russie.

QakBot, comme Emotet et IcedID, utilise un système de serveurs à trois niveaux pour contrôler et communiquer avec les logiciels malveillants installés sur les ordinateurs infectés. Les serveurs principal et secondaire servent principalement à relayer les communications chiffrées entre les ordinateurs infectés et le serveur de troisième niveau qui contrôle le botnet.

À la mi-juin 2023, 853 serveurs de niveau 1 ont été identifiés dans 63 pays, les serveurs de niveau 2 servant de proxys pour masquer le serveur de contrôle principal. Les données collectées par Abuse.ch montrent que tous les serveurs QakBot sont désormais hors ligne.

Selon HP Wolf Security, QakBot figurait également parmi les familles de malwares les plus actives au deuxième trimestre 2023, avec 18 chaînes d'attaque et 56 campagnes. Cela illustre la tendance des groupes criminels à exploiter rapidement les vulnérabilités des défenses réseau à des fins lucratives.