Le FBI, la police française, Europol et plusieurs autres agences dans le monde ont lancé l’opération « Duck Hunt » contre le malware Qakbot. Et la chasse au canard a été fructueuse !
Depuis plusieurs années, de nombreux gangs de cybercriminels — REvil, MegaCortex , Black Basta… — utilisent le malware Qakbot comme vecteur d’infection pour installer des rançongiciels. Selon le décompte du FBI, au moins 40 attaques ont été organisées contre des entreprises, des infrastructures hospitalières et de santé ainsi que des administrations, causant des centaines de millions de dollars de dommages. Rien que ces 18 derniers mois, le bot a engendré des pertes de 58 millions de dollars.
Un canard sans tête
Le bot aurait infecté 700 000 ordinateurs, dont 200 000 aux États-Unis. Ce cauchemar est terminé. La police fédérale américaine a démantelé Qakbot, aussi connu sous les sobriquets Qbot et Pinkslipbot, après avoir infiltré l’infrastructure du malware — en particulier un ordinateur utilisé par un des admins de Qakbot.
Le FBI a mis la main sur des fichiers liés aux opérations du malware. Des documents qui incluent des communications entre les administrateurs et leurs complices, ainsi que des informations sur des portefeuilles de cryptos. 9 millions de dollars ont d’ailleurs été saisis.
« Un autre fichier stocké sur le même ordinateur, appelé “payments.txt”, contenait une liste des victimes du ransomware, des détails sur le groupe du ransomware et sur les systèmes informatiques [utilisés], des dates et le montant de bitcoin payé aux administrateurs en lien avec une attaque par ransomware », décrit le FBI.
Qakbot désinstallé
Vendredi dernier, le trafic de Qakbot a été redirigé vers des serveurs contrôlés par l’agence américaine, ce qui a permis d’obtenir tous les accès nécessaires au déploiement d’un désinstalleur sur les appareils contaminés partout dans le monde. L’infection est donc terminée. Le FBI a notifié les victimes ; ces dernières peuvent également utiliser la base de données Have I Been Pwned pour en avoir le cœur net.
Attention, l’outil de suppression de Qakbot ne concerne que ce malware et pas d’autres logiciels malveillants. Il n’implique pas d’accès ou de modification de données sur les ordinateurs.
Cette opération « Duck Hunt » a été menée par le FBI, avec l’appui d’Europol, de la sous-direction de lutte contre la cybercriminalité de la police nationale française, le pôle cybercriminalité du parquet de Paris, ainsi que les polices allemande, néerlandaise, roumaine, lettone et britannique.
Source :
Bleepingcomputer