Les autorités gouvernementales ont remporté une nouvelle victoire, peut-être temporaire, dans la lutte contre les cybercriminels.
La police de sept pays, dont les États-Unis, a déclaré mardi avoir infiltré et détruit l’infrastructure derrière le réseau zombie Qakbot, puis utilisé cet accès pour commander aux ordinateurs infectés de supprimer le logiciel malveillant.
Cette action, baptisée Opération Duck Hunt, représente la plus grande perturbation financière et technique menée par les États-Unis sur une infrastructure de réseau zombie exploitée par des cybercriminels pour distribuer des rançongiciels, commettre des fraudes financières et se livrer à d’autres activités cybercriminelles, a déclaré le secrétaire américain à la Justice dans un communiqué.
Le maliciel a été utilisé par de nombreux cybercriminels, y compris des groupes de rançongiciel, comme arme initiale de compromission du système informatique.
Le maliciel Qakbot [appelé QBot ou Pinkslipbot par certaines sociétés de cybersécurité] infecte principalement les ordinateurs des victimes via des courriels indésirables contenant des pièces jointes ou des hyperliens malveillants, indique le communiqué américain. Si un ordinateur est infecté avec succès, Qakbot peut transmettre des logiciels malveillants supplémentaires, notamment des rançongiciels, à l’ordinateur infecté. Qakbot a été utilisé comme moyen d’infection initial par de nombreux gangs de rançongiciel prolifiques ces dernières années, notamment Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta.
Selon BlackBerry, Qakbot a été découvert en 2008. Après la mise à disposition de versions mises à jour en 2015, Qakbot a pris un nouvel élan parmi les acteurs malveillants. En 2020, des chercheurs en cybermenaces ont noté que la diffusion d’une nouvelle souche de Qakbot avait entraîné une augmentation de 465 % de sa part des cyberattaques en un an. En 2021, Qakbot a été exploité dans le cadre de la cyberattaque majeure de JBS, qui a perturbé ses installations de production de viande et forcé le paiement d’une rançon de 11 millions de dollars.
Dans le cadre de ce démantèlement, le FBI a pu accéder à l’infrastructure de Qakbot et identifier plus de 700 000 ordinateurs dans le monde, dont plus de 200 000 aux États-Unis, qui semblent avoir été infectés par Qakbot.
Pour perturber le réseau zombie, le FBI a pu rediriger le trafic de Qakbot vers et via des serveurs contrôlés par le FBI, qui à son tour a demandé aux ordinateurs infectés aux États-Unis et ailleurs de télécharger un fichier créé par les forces de l’ordre qui désinstallerait le maliciel Qakbot. Ce programme de désinstallation a été conçu pour détacher l’ordinateur victime du réseau zombie Qakbot, empêchant ainsi l’installation ultérieure de logiciels malveillants via Qakbot.
Outre les États-Unis, les autorités françaises, allemandes, néerlandaises, britanniques, roumaines et lettones ont participé à la manœuvre. Dans le cadre de cette action combinée, 9 millions de dollars américains en cryptomonnaie ont également été saisis. Zscaler, Shadowserver, la Microsoft Digital Crimes Unit, la National Cyber Forensics and Training Alliance et le service Have I Been Pwned ont également participé.
Qakbot est une opération de longue date qui s’étend sur plus d’une décennie et qui s’est adaptée et a évolué avec son temps, a noté Kimberly Goody, directrice principale de l’unité d’analyse financière de Mandiant. Il s’est d’abord concentré sur la fraude bancaire traditionnelle, puis a ensuite évolué pour servir de point d’appui pour soutenir les intrusions de rançongiciel. « Tout impact sur ces opérations est le bienvenu, car il peut provoquer des fractures au sein de l’écosystème et conduire à des perturbations qui poussent les cybercriminels à nouer d’autres partenariats – même si ce n’est que temporaire. Les cybercriminels qui utilisaient Qakbot dans des intrusions de rançongiciel, par exemple, pourraient se tourner vers des communautés clandestines pour les fournisseurs d’accès initiaux, ce qui entraînerait des tactiques d’accès initial plus variées à court terme.
Démanteler le réseau zombie Qakbot de plus de 700 000 ordinateurs victimes est une grande réussite pour le FBI et ses partenaires, a déclaré Chester Wisniewski, directeur technique de la recherche appliquée chez Sophos. Cela occasionnera des désagréments importants aux opérateurs du réseau et aux groupes criminels qui en dépendent. Il a ajouté : « Malheureusement, cela n’empêchera pas les maîtres de Qakbot de le reconstituer et de continuer à profiter de nos échecs en matière de sécurité. Chaque fois que nous pouvons augmenter le coût pour les criminels de mettre en œuvre leurs stratagèmes, nous devons profiter de ces opportunités, mais cela ne signifie pas que nous pouvons nous reposer sur nos lauriers, nous devons continuer à travailler pour identifier les responsables et les tenir pour responsables afin de véritablement désactiver leurs opérations. »
Adaptation et traduction française par Renaud Larue-Langlois.