Les États-Unis démantèlent le botnet QakBot qui affecte 700 000 ordinateurs

Selon The Hacker News , QakBot est une souche de malware Windows notoire qui aurait compromis plus de 700 000 ordinateurs dans le monde et faciliterait la fraude financière ainsi que les ransomwares.

Le ministère américain de la Justice (DoJ) a déclaré que le logiciel malveillant était en train d'être supprimé des ordinateurs des victimes, l'empêchant de causer d'autres dommages, et les autorités ont saisi plus de 8,6 millions de dollars en cryptomonnaie illicite.

L'opération transfrontalière a impliqué la France, l'Allemagne, la Lettonie, la Roumanie, les Pays-Bas, le Royaume-Uni et les États-Unis, avec le soutien technique de la société de cybersécurité Zscaler. Il s’agit de la plus grande opération menée par les États-Unis contre les infrastructures de botnet utilisées par les cybercriminels, même si aucune arrestation n’a été annoncée.

QakBot, également connu sous le nom de QBot et Pinkslipbot, a commencé à fonctionner comme un cheval de Troie bancaire en 2007 avant de devenir un centre de distribution de logiciels malveillants sur les machines infectées, y compris les ransomwares. Certains des ransomwares de QakBot incluent Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta. Les opérateurs de QakBot auraient reçu environ 58 millions de dollars de rançons de la part des victimes entre octobre 2021 et avril 2023.

Souvent distribué via des e-mails de phishing, ce malware modulaire est équipé de capacités d'exécution de commandes et de collecte d'informations. QakBot a été continuellement mis à jour tout au long de son existence. Le ministère de la Justice a déclaré que les ordinateurs infectés par le logiciel malveillant faisaient partie d'un botnet, ce qui signifie que les auteurs pouvaient contrôler à distance tous les ordinateurs infectés de manière coordonnée.

Selon les documents judiciaires, l'opération a accédé à l'infrastructure de QakBot, qui pouvait ensuite rediriger le trafic du botnet via des serveurs contrôlés par le FBI, dans le but ultime de désactiver la chaîne d'approvisionnement criminelle. Les serveurs ont demandé aux ordinateurs compromis de télécharger un programme de désinstallation, conçu pour supprimer les machines du botnet QakBot, empêchant ainsi efficacement la distribution de composants malveillants supplémentaires.

QakBot a montré une sophistication accrue au fil du temps, changeant rapidement de tactique pour répondre aux nouvelles mesures de sécurité. Après que Microsoft a désactivé les macros par défaut dans toutes les applications Office, le malware a commencé à utiliser les fichiers OneNote comme vecteur d’infection plus tôt cette année.

La sophistication et l'adaptabilité résident également dans l'utilisation de multiples formats de fichiers tels que PDF, HTML et ZIP dans la chaîne d'attaque de QakBot. La plupart des serveurs de commande et de contrôle du malware sont situés aux États-Unis, au Royaume-Uni, en Inde, au Canada et en France, tandis que l'infrastructure de support serait située en Russie.

QakBot, comme Emotet et IcedID, utilise un système de serveur à trois niveaux pour contrôler et communiquer avec les logiciels malveillants installés sur les ordinateurs infectés. L’objectif principal des serveurs de niveaux 1 et 2 est de relayer les communications contenant des données cryptées entre les machines infectées et les serveurs de niveau 3 qui contrôlent le botnet.

À la mi-juin 2023, 853 serveurs de niveau 1 ont été identifiés dans 63 pays, les serveurs de niveau 2 faisant office de proxys pour masquer le serveur de contrôle principal. Les données collectées par Abuse.ch montrent que tous les serveurs QakBot sont désormais hors ligne.

Selon HP Wolf Security, QakBot était également l'une des familles de malwares les plus actives au deuxième trimestre 2023 avec 18 chaînes d'attaque et 56 campagnes. Il montre la tendance des groupes criminels à tenter d’exploiter rapidement les vulnérabilités des systèmes de cyberdéfense pour réaliser des profits illégaux.