1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Les États-Unis Piratent QakBot et Suppriment Discrètement les Infections de Botnet

Les États-Unis Piratent QakBot et Suppriment Discrètement les Infections de Botnet

Le gouvernement américain a annoncé aujourd'hui une répression coordonnée contre Kakbots, une famille complexe de logiciels malveillants utilisée par plusieurs groupes de cybercriminalité pour jeter les bases d'infections par ransomware. L'opération internationale d'application de la loi impliquait de prendre le contrôle de l'infrastructure en ligne du botnet et de supprimer discrètement le logiciel malveillant Qakbot de dizaines de milliers d'ordinateurs Microsoft Windows infectés.

Les autorités néerlandaises à l'intérieur d'un centre de données avec des serveurs liés au botnet. Image: Police nationale néerlandaise.

Dans une opération internationale annoncée aujourd'hui baptisée “Chasse au Canard, "le Département de la Justice des États-Unis (Ministère de la justice) et Bureau fédéral d'Enquête (FBI) a déclaré avoir obtenu des ordonnances judiciaires pour supprimer Qakbot des appareils infectés et pour saisir les serveurs utilisés pour contrôler le botnet.

“Il s'agit de l'opération technologique et financière la plus importante jamais menée par le ministère de la Justice contre un botnet”, a déclaré Jean-François, le procureur américain du district sud de Californie, lors d'une conférence de presse ce matin à Los Angeles.

Estrada a déclaré que Qakbot avait été impliqué dans 40 attaques de ransomware différentes au cours des 18 derniers mois, des intrusions qui ont collectivement coûté aux victimes plus de 58 millions de dollars de pertes.

Émergeant en 2007 en tant que cheval de Troie bancaire, QakBot (alias. Qbot et Pipeau Rose) s'est transformée en une souche de malware avancée désormais utilisée par plusieurs groupes de cybercriminels pour préparer les réseaux nouvellement compromis aux infestations de ransomwares. QakBot est le plus souvent livré via des leurres de phishing par e-mail déguisés en quelque chose de légitime et urgent, comme des factures ou des bons de travail.

Don Toujours, directeur adjoint en charge du bureau extérieur du FBI à Los Angeles, a déclaré que les enquêteurs fédéraux avaient eu accès à un panel en ligne qui permettait aux cybercriminels de surveiller et de contrôler les actions du botnet. À partir de là, les enquêteurs ont obtenu l'autorisation ordonnée par le tribunal d'ordonner à tous les systèmes infectés de désinstaller Qakbot et de se déconnecter du botnet, a déclaré Alway.

Le DOJ affirme que leur accès au panneau de contrôle du botnet a révélé que Qakbot avait été utilisé pour infecter plus de 700 000 machines au cours de la seule année écoulée, dont 200 000 systèmes aux États-Unis.

En collaboration avec des partenaires des forces de l'ordre en France, en Allemagne, en Lettonie, aux Pays-Bas, en Roumanie et au Royaume-Uni, le ministère de la Justice a déclaré qu'il avait pu saisir plus de 50 serveurs Internet liés au réseau de logiciels malveillants et près de 9 millions de dollars de crypto-monnaie mal acquise des seigneurs cybercriminels de QakBot. Le ministère de la Justice a refusé de dire si des suspects avaient été interrogés ou arrêtés en relation avec Qakbot, citant une enquête en cours.

Selon chiffres récents de la société de sécurité gérée Le Repos, QakBot est de loin le “chargeur” de logiciels malveillants le plus répandu — un logiciel malveillant utilisé pour sécuriser l'accès à un réseau piraté et aider à supprimer des charges utiles supplémentaires de logiciels malveillants. Reliaquest indique que les infections à QakBot représentaient près d'un tiers de tous les chargeurs observés dans la nature au cours des six premiers mois de cette année.

Qakbot/ Qbot a de nouveau été le principal chargeur de logiciels malveillants observé dans la nature au cours des six premiers mois de 2023. Source: Reliaquest.com.

Chercheurs à Laboratoires extraterrestres AT & T dire les escrocs responsables de la maintenance du botnet QakBot ont loué leur création à divers groupes de cybercriminalité au fil des ans. Plus récemment, cependant, QakBot a été étroitement associé aux attaques de ransomwares de Basta Noir, une prolifique Groupe criminel de langue russe qui aurait dérivé de le gang de ransomwares Conti au début de 2022.

L'opération d'aujourd'hui n'est pas la première fois que le gouvernement américain utilise des ordonnances judiciaires pour désinfecter à distance les systèmes compromis par des logiciels malveillants. En avril 2022, le DOJ a discrètement supprimé les logiciels malveillants des ordinateurs du monde entier infecté par le malware " Serpent” , une famille de logiciels malveillants encore plus ancienne qui a été liée au GRU, une branche du renseignement de l'armée russe.

Les Documents publiés par le ministère de la justice à l'appui d'aujourd'hui de retrait de l'état que début Août. Le 25 septembre 2023, les forces de l'ordre ont eu accès au botnet Qakbot, ont redirigé le trafic du botnet vers et via des serveurs contrôlés par les forces de l'ordre et ont demandé aux ordinateurs infectés par Qakbot de télécharger un fichier de désinstallation Qakbot qui désinstallait le malware Qakbot de l'ordinateur infecté.

“Le fichier de désinstallation de Qakbot n'a pas corrigé d'autres logiciels malveillants déjà installés sur des ordinateurs infectés”, a expliqué le gouvernement. “Au lieu de cela, il a été conçu pour empêcher l'installation de logiciels malveillants supplémentaires Qakbot sur l'ordinateur infecté en détachant l'ordinateur victime du botnet Qakbot.”

Le DOJ a déclaré qu'il avait également récupéré plus de 6,5 millions de mots de passe et autres informations d'identification volés, et qu'il avait partagé ces informations avec deux sites Web qui permettaient aux utilisateurs de vérifier si leurs informations d'identification étaient exposées: Ai-Je Été Pwned, et un Site Web” Vérifiez votre piratage" érigé par le Police Nationale Néerlandaise.

Lectures complémentaires:

Demande du ministère de la justice pour une demande de mandat de perquisition liée au fichier de désinstallation de Qakbot (PDF)
La demande de mandat de perquisition connectée à l'infrastructure du serveur QakBot aux États-Unis (PDF)
Demande de mandat du gouvernement pour saisir la monnaie virtuelle des opérateurs de QakBot (PDF)



>>Plus