Également connu en tant que QBot ou Pinkslipbot, l'infrastructure du botnet QakBot vient d'être neutralisée dans le cadre d'une opération internationale baptisée Duck Hunt. Cette opération a été menée le 26 août en coopération avec les autorités policières et judiciaires de plusieurs pays.

Les pays impliqués sont l'Allemagne, les États-Unis, la France, la Lettonie, les Pays-Bas, la Roumanie et le Royaume-Uni. Le malware QakBot pour Windows a infecté plus de 700 000 ordinateurs dans le monde et des serveurs infectés ont été identifiés dans près d'une trentaine de pays.

Sur les plus de 700 000 ordinateurs devenus zombies et embrigadés à leur insu dans des activités cybercriminelles, plus de 200 000 étaient aux États-Unis et de l'ordre de 26 000 en France. QakBot était actif depuis 2007 et avait commencé sa carrière en tant que cheval de Troie bancaire, avant de connaître plusieurs évolutions.

Aussi pour des rançongiciels

Selon Europol, QakBot s'est infiltré dans des ordinateurs de victimes via du spam par e-mail contenant des pièces jointes ou des liens malveillants. Une fois installé, il pouvait permettre des infections avec diverses charges utiles supplémentaires, y compris des ransomwares.

qakbot-europol

L'ordinateur infecté et compromis devenait en outre un élément d'un botnet sous le contrôle de cybercriminels. Il servait essentiellement au vol de données financières et d'identifiants de connexion depuis des navigateurs web.

Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta ont fait partie des ransomwares propagés par QakBot. Entre octobre 2021 et avril 2023, les administrateurs du botnet auraient reçu pour environ 54 millions d'euros sur les rançons versées par les victimes.

Le département de la Justice des États-Unis indique la saisie de plus de 8,6 millions de dollars (près de 7,9 millions d'euros) en cryptomonnaies. D'après un récent rapport de Zscaler, les serveurs de commande et de contrôle de QakBot étaient principalement présents aux États-Unis, au Royaume-Uni, en Inde, au Canada et en France. QakBot serait toutefois originaire de Russie.

Le FBI fait le ménage sur les ordinateurs

Aucune arrestation en lien avec l'opération Duck Hunt n'a été annoncée. L'accès à l'infrastructure de QakBot par le FBI lui a permis de rediriger le trafic du botnet vers des serveurs sous son contrôle. Sur les ordinateurs infectés, il est ainsi possible de faire télécharger un outil de désinstallation de QakBot. Une action qui ne concerne que ce malware et pas les autres éventuellement présents.

Par ailleurs, près de 6,5 millions d'identifiants de comptes compromis par l'entremise de QakBot ont été identifiés. Le FBI les a fournis au site Have I Been Pwned qui permet de vérifier si des identifiants ont été exposés. La police nationale néerlandaise a également mis en place un site de vérification en s'appuyant sur des informations d'identifiants compromis.

have-i-been-pwned-qakbot

L'opération de démantèlement du botnet QakBot semble être un succès notable à ce stade. À voir s'il ne refera malheureusement pas surface dans un avenir plus ou moins proche...