En collaboration avec différents pays, le FBI vient de mettre un terme aux agissements de Qakbot, un malware à l’origine d’un vaste réseau de PC zombies qui infectait 700 000 d’ordinateurs à travers le monde.
C’est ce qu’on appelle un coup de maître, et on le doit à un véritable effort international. Les États-Unis, avec l’aide de différents pays dont la France, l’Allemagne, le Royaume-Uni, la Roumanie, la Lettonie ou encore les Pays-Bas, sont parvenus à démanteler le vaste réseau de botnet connu sous le nom de Quakbot. Ce logiciel malveillant infectait pas moins de 700 000 ordinateurs à travers le monde, et ses dégâts sont évalués à environ 58 millions de dollars.
L’opération Duck Hunt est une réussite
Qakbot est un logiciel malveillant qui se diffuse comme beaucoup d’autres, à savoir par le biais de pièces jointes vérolées qui entraînent l’installation d’un malware sur l’ordinateur infecté. C’est alors que se déclenchent différents phénomènes. Tout d’abord, l’ordinateur rejoint un réseau de PC zombies qui sont contrôlés à distance par les pirates informatiques à l’origine de l’attaque. Ensuite, le malware ouvre des portes dérobées pour l’installation d’autres logiciels malveillants, comme des rançongiciels, qui vont chiffrer certaines données de l’ordinateur et réclamer une rançon à son propriétaire pour lui redonner les accès.
En résumé, Qakbot est une vraie plaie, mais à ce jour, son niveau de menace est redescendu en flèche grâce au travail conjoint du FBI et d’autres organismes internationaux. Pour mettre le réseau de botnet hors service, le FBI a acheminé Qakbot vers des serveurs dont il avait le contrôle. Puis le bureau fédéral américain a tout simplement envoyé une requête aux PC infectés en leur fournissant un logiciel permettant de désinstaller le malware. Par la même occasion, les ordinateurs ont été déconnectés du réseau malveillant, « empêchant toute installation ultérieure de logiciels malveillants via Qakbot », explique le département de la justice américaine.
Une menace qui pesait depuis 2008
Les détails précis qui ont permis à cette opération, nommée « Duck Hunt », d’être menée à bien, n’ont pas été tous dévoilés. Cependant, on sait que Qakbot était en activité depuis 2008, et que l’ampleur de son réseau était considérable. De multiples groupes de ransomware l’ont exploité au fil des années, et le coût engendré par son utilisation est considérable. Le DOJ américain a saisi 8,6 millions de dollars de fonds extorqués en cryptomonnaie dans le cadre de cette opération, mais ce n’est qu’une goutte d’eau dans la mer.
« Qakbot était le botnet de prédilection de certains des gangs de ransomwares les plus tristement célèbres, mais nous l’avons désormais éliminé », résume le DOJ. Le nombre d’ordinateurs touchés par le malware est estimé à plus de 200 000 aux États-Unis, tandis qu’en France, environ 26 000 machines étaient contaminées comme le révèle un communiqué français sur le sujet.
Enfin, il faut préciser que l’opération Duck Hunt ciblait uniquement le botnet Qakbot. Celui-ci a été utilisé pour ouvrir des backdoors permettant l’installation d’autres logiciels malveillants, et ces derniers ne sont pas concernés par la démarche du FBI. Cela signifie que si les ordinateurs infectés ont bien été déconnectés du réseau de PC zombies, ils sont, peut-être, encore infectés par des malwares. La prudence reste donc de mise…