Selon The Hacker News , QakBot est une souche de malware Windows bien connue qui aurait compromis plus de 700 000 ordinateurs dans le monde et faciliterait la fraude financière ainsi que les ransomwares.
Le ministère américain de la Justice (DoJ) a déclaré que le logiciel malveillant était en train d'être supprimé des ordinateurs des victimes, l'empêchant de causer d'autres dommages, et les autorités ont saisi plus de 8,6 millions de dollars en cryptomonnaie illicite.
L'opération transfrontalière, qui a impliqué la France, l'Allemagne, la Lettonie, la Roumanie, les Pays-Bas, le Royaume-Uni et les États-Unis, avec le soutien technique de la société de cybersécurité Zscaler, a été la plus grande perturbation financière et technique menée par les États-Unis de l'infrastructure de botnet utilisée par les cybercriminels, bien qu'aucune arrestation n'ait été annoncée.
Modèle de contrôle du botnet de QakBot
QakBot, également connu sous les noms de QBot et Pinkslipbot, a débuté ses activités en tant que cheval de Troie bancaire en 2007 avant de devenir un centre de distribution de logiciels malveillants sur les machines infectées, notamment des rançongiciels. Parmi les rançongiciels de QakBot, on trouve Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta. Les opérateurs de QakBot auraient reçu environ 58 millions de dollars de rançons de la part de leurs victimes entre octobre 2021 et avril 2023.
Souvent diffusé par e-mails d'hameçonnage, ce logiciel malveillant modulaire est doté de capacités d'exécution de commandes et de collecte d'informations. QakBot a été constamment mis à jour tout au long de son existence. Le Département de la Justice des États-Unis a déclaré que les ordinateurs infectés par le logiciel malveillant faisaient partie d'un botnet, ce qui signifie que les pirates pouvaient contrôler à distance tous les ordinateurs infectés de manière coordonnée.
Selon les documents judiciaires, l'opération a accédé à l'infrastructure de QakBot, ce qui lui a permis de rediriger le trafic du botnet via des serveurs contrôlés par le FBI, paralysant ainsi la chaîne d'approvisionnement des criminels. Les serveurs ordonnaient aux ordinateurs compromis de télécharger un programme de désinstallation conçu pour supprimer les machines du botnet QakBot, empêchant ainsi la distribution de nouveaux composants malveillants.
QakBot a fait preuve d'une sophistication croissante au fil du temps, adaptant rapidement ses tactiques pour s'adapter aux nouvelles mesures de sécurité. Après que Microsoft a désactivé les macros par défaut dans toutes les applications Office, le malware a commencé à utiliser les fichiers OneNote comme vecteur d'infection en début d'année.
La sophistication et l'adaptabilité résident également dans l'utilisation de multiples formats de fichiers, tels que PDF, HTML et ZIP, dans la chaîne d'attaque de QakBot. La majorité des serveurs de commande et de contrôle du malware sont situés aux États-Unis, au Royaume-Uni, en Inde, au Canada et en France, tandis que l'infrastructure dorsale serait située en Russie.
QakBot, comme Emotet et IcedID, utilise un système de serveurs à trois niveaux pour contrôler et communiquer avec les logiciels malveillants installés sur les ordinateurs infectés. Les serveurs principal et secondaire servent principalement à relayer les communications chiffrées entre les ordinateurs infectés et le serveur de troisième niveau qui contrôle le botnet.
À la mi-juin 2023, 853 serveurs de niveau 1 ont été identifiés dans 63 pays, les serveurs de niveau 2 servant de proxys pour masquer le serveur de contrôle principal. Les données recueillies par Abuse.ch montrent que tous les serveurs QakBot sont désormais hors ligne.
Selon HP Wolf Security, QakBot figurait également parmi les familles de malwares les plus actives au deuxième trimestre 2023, avec 18 chaînes d'attaque et 56 campagnes. Cela illustre la tendance des groupes criminels à exploiter rapidement les vulnérabilités des défenses réseau à des fins lucratives.
Lien source
Comment (0)