Une opération du gouvernement américain a permis de démanteler l’infrastructure du célèbre logiciel malveillant Qakbot, dont les responsables affirment qu’il a causé des centaines de millions de dollars de dégâts dans le monde entier.
Dans un communiqué publié mardi, le FBI a déclaré avoir réussi à « perturber et démanteler » le logiciel malveillant Qakbot et avoir identifié plus de 700 000 ordinateurs infectés dans le monde, dont plus de 200 000 aux États-Unis.
Le ministère de la justice a également annoncé la saisie de plus de 8,6 millions de dollars en crypto-monnaie auprès de l’organisation cybercriminelle Qakbot, qui seront désormais mis à la disposition des victimes.
L’opération, menée en partenariat avec les services répressifs de France, d’Allemagne, des Pays-Bas, de Roumanie, de Lettonie et du Royaume-Uni, est décrite comme la plus grande perturbation financière et technique, sous l’égide des États-Unis, d’une infrastructure de réseau de zombies utilisée par les cybercriminels pour commettre des ransomwares, des fraudes financières et d’autres activités criminelles utilisant la cybernétique.
Pour démanteler le botnet, le FBI a obtenu un accès légal à l’infrastructure de Qakbot et a redirigé le trafic de Qakbot vers des serveurs contrôlés par le FBI, qui ont demandé aux ordinateurs infectés de télécharger un fichier de désinstallation. Ce fichier de désinstallation a été créé par les forces de l’ordre pour détacher les ordinateurs des victimes du botnet Qakbot, empêchant ainsi l’installation ultérieure de logiciels malveillants par l’intermédiaire de Qakbot.
Au cours de cette opération, baptisée « Operation Duck Hunt », le FBI a déclaré avoir récupéré les informations d’identification volées – notamment les adresses électroniques et les mots de passe – de plus de 6,5 millions de victimes, ajoutant que ses partenaires internationaux en avaient identifié « des millions d’autres ».
Le FBI a également annoncé la saisie de 52 serveurs, ce qui, selon lui, permettra de « démanteler définitivement » le réseau de zombies.
Qakbot, également connu sous les noms de « QBot » et « QuakBot », a été détecté pour la première fois en 2008, ce qui en fait l’un des botnets les plus anciens. Le logiciel malveillant, qui est apparu pour la première fois sous la forme d’un cheval de Troie bancaire, infecte les appareils principalement par l’intermédiaire de courriels d’hameçonnage contenant des liens ou des pièces jointes malveillants. Lorsqu’une cible clique sur le lien ou télécharge la pièce jointe, Qakbot déploie d’autres logiciels malveillants sur son ordinateur pour l’intégrer à un réseau de zombies qui peut être contrôlé à distance.
Ces dernières années, Qakbot est devenu le botnet de prédilection de certains des gangs de ransomware les plus tristement célèbres, dont Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta
Selon le FBI, ces gangs de ransomware ont reçu environ 58 millions de dollars en paiements de rançons au cours des 18 derniers mois seulement, et ont fait ensemble plus de 40 victimes, y compris des fournisseurs de soins de santé et des organismes gouvernementaux.
Selon l’annonce faite aujourd’hui, ces victimes comprennent une société d’ingénierie énergétique basée dans l’Illinois, des organisations de services financiers basées en Alabama, au Kansas et dans le Maryland, un fabricant de matériel de défense basé dans le Maryland et une société de distribution de produits alimentaires en Californie du Sud.
Le programme Rewards for Justice du département d’État américain a annoncé des récompenses pouvant aller jusqu’à 10 millions de dollars pour toute information permettant d’identifier les opérateurs de Qakbot.