Le 29 août 2023, le FBI américain a annoncé avoir démantelé l'opération multinationale de cyberpiratage et de ransomware Qakbot, ou Qbot. Après Hive, Emotet ou encore Zloader, c'est désormais QakBot qui est touché. Mais le botnet est-il détruit et le ransomware inutilisable ou simplement paralysé, comme ce fut le cas avec Emotet ?
Le malware Qakbot a infecté les victimes via des spams contenant des pièces jointes et des liens frauduleux. Il a également servi de plateforme aux opérateurs de ransomwares. Une fois l'ordinateur de la victime piraté, il est devenu partie intégrante du réseau de robots Qakbot, qui a détourné d'autres ordinateurs. 700 000 ordinateurs ont été touchés dans le monde, notamment dans des institutions financières, des sous-traitants gouvernementaux et des fabricants de dispositifs médicaux.
Qu’est-ce que Qakbot ?
🔎 Le rapport de mi-année 2023 de Check Point montre que Qbot/Qakbot a mené le plus d'attaques au monde (Image ; Check Point).
Qakbot était exploité par des pirates informatiques d’Europe de l’Est et est actif depuis 2008. Il s’agit du malware le plus fréquemment découvert, affectant 2023 % des réseaux d’entreprise dans le monde au premier semestre 11. Qakbot est particulièrement délicat : il s’agit d’un malware polyvalent qui ressemble à un couteau suisse. Il permet aux cybercriminels de voler directement des données (y compris l'accès aux comptes financiers, aux cartes de paiement) ou aux ordinateurs, tout en servant également de plate-forme pour infecter les réseaux des victimes avec des logiciels malveillants et des ransomwares supplémentaires. Principalement distribué via des e-mails de phishing, Qakbot est hautement adaptable et flexible, permettant au malware de contourner les mesures de sécurité. Il utilise des types de fichiers bien connus tels que OneNote, PDF, HTML, ZIP ou LNK pour tromper les utilisateurs. Selon Sergey Shykevich, responsable des renseignements sur les menaces chez Check Point Research.
Voici ce que dit Mandiant, filiale de Google, à propos de Qakbot
Pour un excellent mixage pop de vos pistes il est primordial de bien FBI a travaillé avec des partenaires du monde entier pour neutraliser l’infrastructure des logiciels malveillants Qakbot. L'infrastructure a été utilisée par les cybercriminels pour diffuser des ransomwares. Les ransomwares sont encore souvent utilisés par les cybercriminels à des fins économiques. Selon le rapport de recherche M-Trends 2023, 2022 % des enquêtes Mandiant menées en 18 impliquaient des ransomwares.
Sandra Joyce, vice-présidente, Mandiant Intelligence chez Google Cloud explique : « Les ransomwares constituent un défi majeur pour la sécurité nationale que nous devons prendre tout aussi au sérieux que les menaces émanant d’États-nations comme la Russie ou la Corée du Nord. Les fondamentaux du modèle économique sont solides et ce problème ne sera pas résolu de sitôt. La plupart des outils dont nous disposons n’auront pas d’impact durable. Ces groupes se rétabliront et reviendront. Mais nous avons l’obligation morale de suspendre ces opérations autant que possible. »
Commentaire de Qakbot par Arctic Wolf
La chasse au canard a été un succès : les médias rapportent que le FBI a réussi à démanteler le botnet, contrôlé par le malware Qakbot, dans le cadre d'une opération internationale d'application de la loi appelée « Duck Hunt » avec des forces d'Allemagne, des Pays-Bas, de Roumanie, de Lettonie et le Royaume-Uni est devenu.
« Le succès de la « chasse au canard » à Qakbot est positif pour deux raisons : d’une part, nous constatons que les autorités internationales chargées de l’application des lois travaillent de mieux en mieux ensemble, et d’autre part, c’est un autre signe que la cybercriminalité organisée est à leurs trousses et ils ne peuvent pas accomplir leurs méfaits sans être dérangés.
Néanmoins, cette avancée importante ne doit pas être surestimée. Bien que le botnet ait été détruit pour le moment, les codes sources des logiciels malveillants existent toujours, tout comme leurs développeurs. Il faut s'attendre à ce qu'ils se regroupent et reprennent leur « travail » d'ici quelques semaines ou quelques mois.
Les entreprises peuvent vérifier si leurs identifiants ont été volés par les acteurs de Qakbot. Cela fonctionne en fournissant votre propre adresse e-mail Ai-je été appelé? ou sur le site Internet de la police néerlandaise. Dr. Sebastian Schmerl, directeur des services de sécurité EMEA Loup arctique.