International

Qakbot : l’infrastructure du réseau anéantie à la suite d’une opération internationale

Le 26 août 2023, l’opération « Duck Hunt » était lancée. Son but anéantir l’infrastructure de Qakbot. Le programme malveillant Quakbot a infecté plus de 700 000 ordinateurs, facilité le déploiement de ransomwares. Il a causé plusieurs millions de dollars de dommages, près de 58 millions sous forme de rançons, qui ont été versés depuis 2007, explique Europol. Une coopération internationale de la France, l’Allemagne, la Lettonie, les Pays-Bas, la Roumanie, le Royaume-Uni et les États-Unis a mis fin à l’infrastructure du réseau.

Actif depuis 2007, Qakbot, connu également sous QBot ou Pinkslipbot, a évolué s’adaptant aux contre-mesures, et ainsi utilisant différentes techniques pour infecter les utilisateurs et compromettre les systèmes. Par des conférences de presse ce mercredi 30 août 2023 en France comme aux États-Unis, les différentes autorités ont confirmé leur participation comme la chute de l’infrastructure. L’opération s’étant déroulée quatre jours plus tôt. C’est 8,6 millions de dollars en cryptomonnaie qui sont récupérés par cette opération.

La victime reçoit un courriel avec une pièce jointe ou un lien hypertexte. Elle clique dessus. Elle est incitée à télécharger des fichiers malveillants en imitant un processus légitime. Enfin, exécution de logiciels malveillants tels que des ransomwares, vol de données, d’informations, de frappes au clavier et/ou des informations d’identification. (Crédits : Europol)

Qakbot s’infiltre dans les ordinateurs des victimes par le biais de courriels de spam contenant des pièces jointes ou des liens hypertextes malveillants. Une fois installé, le logiciel malveillant permet des infections avec des charges utiles telles que des rançongiciels. Il peut aussi servir et devenir un élément d’un réseau d’ordinateurs compromis contrôlé simultanément par les cybercriminels, souvent à l’insu des victimes. Mais Qakbot se concentre principalement sur le vol de données financières et d’identifiants de connexion à partir de navigateurs web.

Qakbot a été utilisé comme premier moyen d’infection par de nombreux groupes de ransomware prolifiques ces dernières années, notamment Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta. D’autant qu’Anonfiles un des sites de stockages les plus utilisés par les pirates informatiques à mis fin à ses activités relate Zataz. (Crédits : FBI/YouTube)

L’enquête suggère qu’entre octobre 2021 et avril 2023, les administrateurs ont reçu des honoraires correspondant à près de 54 millions d’euros de rançons payées par les victimes. L’examen légal de l’infrastructure saisie a révélé que le logiciel malveillant avait infecté plus de 700 000 ordinateurs dans le monde. Les services répressifs ont détecté des serveurs infectés par Qakbot dans près de 30 pays d’Europe, d’Amérique du Sud et du Nord, d’Asie et d’Afrique, ce qui a permis au logiciel malveillant d’agir à l’échelle mondiale. Selon le procureur fédéral Martin Estrada, 200 000 systèmes auraient été infectés aux États-Unis sur les 700 000 à travers le monde, dont 26 000 en France.

Romuald Pena

Journaliste et curieux de nature, j’aime les mots et ce qu’ils chantent aux oreilles qui les entendent. « La vérité, c’est qu’il n’y a pas de vérité », assurait Pablo Neruda. Ainsi j’apporte des faits, des faits, encore et toujours des faits, car : « Nous ne pouvons être condamnés à pire, à juger les autres, à être des juges. » (Le Testament d’Orphée, de Jean Cocteau)

One thought on “Qakbot : l’infrastructure du réseau anéantie à la suite d’une opération internationale

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *