Qakbot, l’un des réseaux de zombies les plus importants et les plus anciens à ce jour, a été démantelé à la suite d’une opération multinationale d’application de la loi menée par le FBI et connue sous le nom d’Opération « Duck Hunt ».
Le botnet (également connu sous les noms de Qbot et Pinkslipbot) a été associé par les forces de l’ordre à au moins 40 attaques de ransomware contre des entreprises, des prestataires de soins de santé et des agences gouvernementales dans le monde entier, causant des centaines de millions de dollars de dégâts, selon des estimations prudentes. Au cours des 18 derniers mois seulement, les pertes ont dépassé les 58 millions de dollars.
Au fil des années, Qakbot a toujours servi de vecteur d’infection initial pour divers gangs de ransomwares et leurs affiliés ou opérateurs, notamment Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex et, plus récemment, Black Basta.
« Les victimes vont d’institutions financières de la côte Est à un entrepreneur gouvernemental d’infrastructures critiques dans le Midwest en passant par un fabricant de dispositifs médicaux sur la côte Ouest », a déclaré le directeur du FBI, Christopher Wray.
« Ce botnet a fourni à de tels cybercriminels une infrastructure de commandement et de contrôle composée de centaines de milliers d’ordinateurs utilisés pour mener des attaques contre des individus et des entreprises dans le monde entier. »
Le FBI a démantelé l’infrastructure de Qakbot après que celui-ci ait infecté plus de 700 000 ordinateurs (plus de 200 000 aux États-Unis).
Les agents du FBI ont redirigé le trafic de Qakbot vers des serveurs contrôlés par l’agence après avoir accédé à ses serveurs de commande et de contrôle vendredi soir.
Cet accès stratégique a permis au FBI de déployer un programme de désinstallation sur les appareils compromis à travers le monde, éliminant ainsi l’infection et empêchant le déploiement de charges utiles malveillantes supplémentaires.
« La portée de cette action policière s’est limitée aux informations installées sur les ordinateurs des victimes par les acteurs de Qakbot », a indiqué aujourd’hui le ministère de la Justice dans un communiqué de presse.
« Cela ne s’étendait pas à la correction d’autres logiciels malveillants déjà installés sur les ordinateurs victimes et n’impliquait pas l’accès ou la modification des informations des propriétaires et des utilisateurs des ordinateurs infectés. »
La liste des partenaires avec lesquels le FBI a travaillé tout au long de cette opération conjointe comprend Europol, le Bureau central de lutte contre la cybercriminalité de la police française et la section de cybercriminalité du parquet de Paris, la police criminelle fédérale allemande et le parquet général de Francfort/Main, la police nationale des Pays-Bas et le ministère public national. Office, la National Crime Agency du Royaume-Uni, la police nationale de Roumanie et la police d’État de Lettonie.
Le FBI a également travaillé avec CISA, Shadowserver, la Microsoft Digital Crimes Unit, la National Cyber Forensics and Training Alliance et Have I Been Pwned pour informer les victimes.
« Qakbot était le botnet de prédilection de certains des gangs de ransomwares les plus infâmes, mais nous l’avons maintenant éliminé. Cette opération a également conduit à la saisie de près de 9 millions de dollars en cryptomonnaie auprès de l’organisation cybercriminelle Qakbot, qui sera désormais rendue à la disposition des victimes », a déclaré le procureur américain Martin Estrada.