Language
Le FBI et le ministère de la Justice démantèlent le malware Qakbot
MaisonMaison > Blog > Le FBI et le ministère de la Justice démantèlent le malware Qakbot
DERNIÈRES NOUVELLES

Le FBI et le ministère de la Justice démantèlent le malware Qakbot

May 31, 2023

Getty Images

Une opération internationale d’application de la loi menée par le FBI et le ministère américain de la Justice a entraîné une perturbation majeure du botnet Qakbot.

Qakbot est un cheval de Troie bancaire découvert pour la première fois à la fin des années 2000 et qui s'est révélé un acteur prolifique de la cybercriminalité au fil des années, en particulier parmi les gangs de ransomwares. Le ministère de la Justice a annoncé le retrait mardi dans un communiqué de presse, affirmant qu'il s'agissait « d'une opération multinationale impliquant des actions aux États-Unis, en France, en Allemagne, aux Pays-Bas, au Royaume-Uni, en Roumanie et en Lettonie ».

Le FBI a réussi, via une décision de justice, à accéder à l'infrastructure du botnet et à obtenir des données précieuses, notamment des clés de chiffrement des systèmes de commande et de contrôle. Les autorités ont également identifié plus de 700 000 ordinateurs infectés dans le monde, dont plus de 200 000 aux États-Unis, et redirigé le trafic Qakbot vers des serveurs contrôlés par le bureau.

Ces serveurs, selon un article du FBI, "ont demandé aux ordinateurs infectés de télécharger un fichier de désinstallation". Le programme de désinstallation était un fichier DLL qui supprimait le logiciel malveillant Qakbot des systèmes des victimes, les détachait du botnet et empêchait l'installation de nouveaux logiciels malveillants.

"Le FBI a neutralisé cette chaîne d'approvisionnement criminelle de grande envergure, en la coupant jusqu'aux genoux. Les victimes allaient d'institutions financières de la côte Est à un entrepreneur gouvernemental d'infrastructures critiques dans le Midwest en passant par un fabricant de dispositifs médicaux sur la côte Ouest", a déclaré le FBI. Le réalisateur Christopher Wray a déclaré dans une annonce vidéo le retrait.

L'opération, baptisée "Duck Hunt", a également permis la saisie de 8,6 millions de dollars de fonds extorqués. Le ministère de la Justice a déclaré que les enquêteurs avaient trouvé des preuves selon lesquelles les administrateurs de Qakbot avaient reçu quelque 58 millions de dollars de rançons entre octobre 2021 et avril 2023.

"Il est rappelé aujourd'hui aux cybercriminels qui s'appuient sur des logiciels malveillants comme Qakbot pour voler les données privées de victimes innocentes qu'ils n'agissent pas en dehors des limites de la loi", a déclaré le procureur général Merrick Garland dans le communiqué de presse du ministère de la Justice.

Le fournisseur de cybersécurité Secureworks a publié une analyse technique du retrait de Qakbot dans laquelle il qualifie le fichier DLL personnalisé du FBI d'« intelligent ». Dans une déclaration partagée avec TechTarget Editorial, Don Smith, vice-président de l'unité de lutte contre les menaces de Secureworks, a déclaré que Qakbot « était un adversaire important » pour les entreprises du monde entier.

"Conçues pour la cybercriminalité, les infections Qakbot ont conduit au déploiement de certains des ransomwares les plus sophistiqués et les plus dommageables. Qakbot a évolué au fil des années pour devenir un élément flexible de l'arsenal des criminels", a déclaré Smith. "Sa suppression est à saluer."

TechTarget Editorial a contacté le FBI pour des commentaires supplémentaires.

Alexander Culafi est un rédacteur, journaliste et podcasteur sur la sécurité de l'information basé à Boston.