L’opération « Duck Hunt » visait le logiciel malveillant Qakbot, qui contrôle les ordinateurs à distance et les prépare à d’autres attaques, comme les rançongiciels.
Le gouvernement américain vient de contribuer au démantèlement d’un vaste réseau d’ordinateurs infectés par l’un des logiciels malveillants les plus connus au monde. Selon le FBI, une opération multinationale menée par les États-Unis a permis de démanteler Qakbot, un logiciel malveillant qui s’était introduit dans plus de 700 000 ordinateurs à travers le monde.
Les pirates ciblent généralement les victimes de Qakbot en leur envoyant des courriels de spam contenant des pièces jointes ou des liens malveillants. Dès qu’une victime télécharge la pièce jointe ou clique sur le lien, Qakbot infecte son ordinateur, qui devient alors un élément d’un botnet, c’est-à-dire un réseau d’ordinateurs infectés contrôlés à distance par des pirates. À partir de là, les malfaiteurs peuvent installer d’autres logiciels malveillants sur les appareils de leurs victimes, tels que des rançongiciels.
Pour démanteler le réseau, le FBI a fait passer Qakbot par des serveurs contrôlés par le FBI, où il a demandé aux ordinateurs infectés aux États-Unis et ailleurs de télécharger un logiciel qui désinstalle le logiciel malveillant Qakbot. Le programme d’installation a également séparé les ordinateurs infectés du réseau de zombies, « empêchant toute nouvelle installation de logiciels malveillants par l’intermédiaire de Qakbot ».
Comme l’indique le ministère de la justice, l’action s’est limitée aux logiciels malveillants installés par les acteurs de Qakbot et « ne s’est pas étendue à la correction d’autres logiciels malveillants déjà installés sur les ordinateurs des victimes ».
Outre les États-Unis, l’opération « Duck Hunt » a également impliqué Europol, la France, l’Allemagne, les Pays-Bas, le Royaume-Uni, la Roumanie et la Lettonie. Les États-Unis affirment que le botnet est responsable de centaines de millions de dollars de dommages et qu’il a infecté plus de 200 000 ordinateurs aux États-Unis.
Qakbot existe depuis 2008 et a été exploité par plusieurs groupes de ransomware prolifiques dans le passé, notamment Conti, REvil, MegaCortex, etc. Dans le cadre de cette opération, le ministère de la justice a saisi des fonds extorqués d’une valeur de 8,6 millions de dollars en crypto-monnaie.
« Un partenariat international mené par le ministère de la Justice et le FBI a permis de démanteler Qakbot, l’un des botnets les plus célèbres de tous les temps, responsable de pertes massives pour les victimes du monde entier », déclare le procureur américain Martin Estrada dans un communiqué. « Qakbot était le botnet de prédilection de certains des gangs de ransomware les plus tristement célèbres, mais nous l’avons maintenant éliminé ».
Le FBI a depuis fourni à « Have I Been Pwned » les informations d’identification compromises qu’il a trouvées au cours de l’opération, ce qui vous permet d’entrer votre adresse électronique sur le site pour vérifier si vous avez été touché. La police nationale néerlandaise a également ajouté les identifiants concernés à son site « Check Your Hack ».
https://www.theverge.com/2023/8/29/23851227/fbi-doj-qakbot-botnet-malware
