Alors que l’année 2023 avance, une tendance indéniable émerge : une série de démantèlements de réseaux criminels mondiaux. Après les opérations réussies contre Breached Forums, Genesis Market ou encore de nombreux sites dédiés au DDoS, sans compter l’infiltration du ransomware Hive en janvier, le FBI ajoute un autre succès à sa liste en mettant hors d’état de nuire un botnet de longue date : QBot.

Depuis son apparition initiale sous le nom de Qakbot en 2007, ce botnet a fait preuve d’une résilience impressionnante. Connus sous diverses appellations telles que QBot, QuakBot ou encore Pinkslipbo et TA570, ses créateurs semblaient jouer au jeu du chat et de la souris avec les chercheurs en sécurité. Évoluant continuellement, le botnet ajoutait constamment de nouvelles fonctionnalités et développait des stratégies pour échapper à la détection. Cela a créé une traque perpétuelle.

Finalement, la persévérance a porté ses fruits, et grâce à la coopération acharnée entre le FBI et ses partenaires, dont la Police Française, le botnet a été mis hors d’état de nuire. C’est une victoire bienvenue, témoignant des efforts soutenus pour protéger l’écosystème en ligne contre les menaces persistantes.

La Cybersecurity and Infrastructure Security Agency (CISA) et le Federal Bureau of Investigation (FBI) ont publié un avis conjoint de cybersécurité (CSA), Identification and Disruption of QakBot Infrastructure , pour aider les organisations à détecter et à se protéger contre les activités et les logiciels malveillants liés à QakBot.

700 000 ordinateurs piégés

Plusieurs nations occidentales, comprenant les États-Unis et la France, ont collaboré pour démanteler la plateforme Qakbot, une action annoncée conjointement par les autorités américaines et françaises le mardi 29 août.

Selon le département de la Justice américain, « Le logiciel malveillant Qakbot a infecté plus de 700 000 ordinateurs, facilité le déploiement de rançongiciels et infligé des centaines de millions de dollars de préjudices à des entreprises, des prestataires de soins et des administrations publiques à travers le monde« .

Dans le cadre de cette coopération internationale, la procureure de la République de Paris a révélé que parmi les quelque 700 000 ordinateurs identifiés comme étant infectés, 26 000 se trouvaient en France. Laure Beccuau a ajouté que six serveurs, parmi les 170 à l’origine du logiciel malveillant, étaient situés sur le territoire français.

L’opération, menée le samedi précédent, a impliqué les autorités policières et judiciaires des États-Unis, de la France, de l’Allemagne et des Pays-Bas. Cette collaboration a abouti à la saisie de 8,6 millions de dollars en cryptomonnaies, a indiqué la procureure de Paris.

Laure Beccuau, du Département de la Justice US a précisé : « Dans la nuit du 26 août 2023, le FBI a procédé à la redirection du trafic vers des serveurs sous son contrôle, libérant ainsi toutes les machines du botnet et rendant celui-ci complètement inopérant. L’opération a également entraîné la désactivation d’environ cinquante serveurs répartis entre les quatre pays partenaires, suivi de la mise hors service du reste de l’infrastructure.«

Il s’agit d’une opération spéciale contre Qakbot qui aurait été impliqué dans 40 attaques différentes utilisant des logiciels de rançon au cours des 18 derniers mois, infligeant ainsi des pertes totalisant 58 millions de dollars aux victimes.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr