5/5 - (8 votes)

Démantèlement du réseau botnet Qakbot/Qbot.

Le botnet Qakbot démantelé après avoir infecté plus de 700 000 ordinateurs. Qakbot, l’un des réseaux de zombies les plus importants et les plus anciens à ce jour, a été démantelé à la suite d’une opération multinationale d’application de la loi menée par le FBI et connue sous le nom d’Opération « Duck Hunt ». Le botnet (également connu sous les noms de Qbot et Pinkslipbot) a été associé par les forces de l’ordre à au moins 40 attaques de ransomware contre des entreprises, des prestataires de soins de santé et des agences gouvernementales dans le monde entier, causant des centaines de millions de dollars de dégâts, selon des estimations prudentes. Au cours des 18 derniers mois seulement, les pertes ont dépassé les 58 millions de dollars.

Démantèlement de l’infrastructure du réseau malveillant Qakbot/Qbot. Communiqué du parquet du Tribunal judiciaire de Paris. Le 26 août 2023, une opération internationale impliquant les autorités policières et judiciaires des États-Unis, de l’Allemagne, des Pays-Bas et de la France a permis le démantèlement de l’infrastructure du réseau malveillant Qakbot (aussi appelé Qbot, ou Pinkslipbot), ainsi que la saisie de 8,6 millions de dollars en crypto-monnaies.


Qbot se classe dans la grande famille des chevaux de Troie (Trojan) avec des caractéristiques de porte dérobée. Depuis 2008, ce malware opère surtout dans le domaine bancaire et le vol des mots de passe. Identifié en Backdoor.Qbot par la solution de sécurité Malwarebytes, qui note que la plupart des variantes sont compatibles avec les machines virtuelles et que certaines ont des capacités polymorphes. La principale source de ce trojan sont les kits d'exploitation et les courriels piégés avec des pièces jointes infectées. Ce cheval de Troie utilise plusieurs techniques anti-machines virtuelles et anti-sandbox qui le rende pratiquement invisible aux algorithmes de détection de la plupart des solutions de sécurité. Cette particularité le hisse au sommet des malwares les plus utilisés par les pirates dans leur campagnes de cyberattaque. Le 26 août 2023, démantèlement de l’infrastructure du réseau botnet malveillant Qakbot/Qbot.

 

26.000 machines piratées en France. Le parquet de Paris a confirmé dans un communiqué la participation de la France, de l’Allemagne et des Pays-Bas à cette opération qui s’est déroulée le 26 août. Sur les plus de 700.000 machines piratées, 26.000 se trouvaient en France, selon la même source, et plus de 200.000 aux Etats-Unis, a indiqué la police fédérale américaine.


Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares. En août 2023, démantèlement de l’infrastructure du réseau de botnet malveillant Qakbot/Qbot.


Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil de dé-bridage soit envoyé à la victime en échange d'une somme d'argent mais sans véritable garantie. De nombreuses solutions de sécurité résidentes assurent une protection en temps réel contre les rançongiciels. Mais les gangs font régulièrement évoluer leur ransomwares pour contrer les clés de déchiffrement proposées. Certains rançongiciels comme le Raas babuk sont de véritables arnaques et ne donnent pas la clé de déchiffrement après la rançon payée. Généralement les experts en sécurité et les autorités judiciaires préconisent de ne pas payer la rançon demandée.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut