C’était un premier vecteur d’infection qui pouvait ouvrir la porte à de dangereux rançongiciels. Le malware QakBot, également connu sous les dénominations Qbot et Pinkslipbot, vient d’être démantelé ce samedi 26 août par l’agence de Los Angeles du FBI, a annoncé la justice américaine, à l’issue d’une opération internationale qui a notamment mobilisé la France.
Après avoir pris le contrôle de l’infrastructure du malware – on en ignore les modalités précises -, la justice américaine a redirigé le trafic des 700 000 ordinateurs infectés vers ses propres serveurs et lancé une procédure de désinstallation du malware. Une manœuvre, baptisée “Duck Hunt” (chasse au canard en français), qui rappelle notamment l’opération menée par la gendarmerie française et Avast contre Retadup.
Utilisé par des cybercriminels du rançongiciel
Selon la justice américaine, QakBot était utilisé par des gangs de cybercriminels tristement célèbres, comme Conti, ProLock, Egregor, REvil, MegaCortex ou encore Black Basta. Ces deux dernières années, QakBot aurait ainsi permis à ces malfaiteurs d’encaisser 58 millions de dollars de rançons payées par des victimes. Le bureau fédéral a également saisi plus de 8,6 millions de dollars (environ 8 millions d’euros) en crypto monnaies, vraisemblablement le produit de rançons. Aucune arrestation ou identification d’un mis en cause n’a par contre été annoncée.
Le logiciel malveillant était diffusé via des pièces jointes malveillantes ou des liens. Il permettait ensuite d’installer d’autres malwares, comme des rançongiciels ou des logiciels espions visant les informations financières ou des couples d’identifiants-mots de passe. Considéré comme un “Emotet en plus lent”, un autre botnet déjà dans le viseur des polices, ce malware était actif depuis 2007, selon Europol.
Six serveurs identifiés en France
QakBot visait principalement des utilisateurs américains – 200 000 ordinateurs étaient localisés aux Etats-Unis – mais également français, avec 26 000 postes infectés dans l’Hexagone. La police française a d’ailleurs identifié six serveurs malveillants basés en France, sur les 170 identifiés dans le monde, tandis que les Pays-Bas et l’Allemagne en ont dénombré respectivement 22 et 8.
Les limiers de la sous-direction de la lutte contre la cybercriminalité et de la gendarmerie française avaient ainsi planché avec le FBI, tout comme plusieurs polices européennes, sur la cartographie de l’infrastructure criminelle. Outre le service Have I Been Pwned, un site mis en place par la police néerlandaise, qui a sécurisé 7,6 milliards d’identifiants volés, permet de savoir si son ordinateur était infecté.