Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
Maison
Aug 13, 2023
Comment le FBI a éliminé le malware Qakbot des PC Windows infectés
Le FBI a annoncé aujourd'hui la perturbation du botnet Qakbot dans le cadre d'une opération internationale d'application de la loi qui a non seulement saisi l'infrastructure, mais a également désinstallé les logiciels malveillants des appareils infectés.
Le FBI a annoncé aujourd'hui la perturbation du botnet Qakbot dans le cadre d'une opération internationale d'application de la loi qui a non seulement saisi l'infrastructure, mais a également désinstallé les logiciels malveillants des appareils infectés.
Au cours de l'opération d'application de la loi du week-end dernier, Operation Duck Hunt, le FBI a redirigé les communications réseau du botnet vers des serveurs sous son contrôle, permettant aux agents d'identifier environ 700 000 appareils infectés (dont 200 000 situés aux États-Unis).
Après avoir pris le contrôle du botnet, le FBI a mis au point une méthode pour désinstaller le malware des ordinateurs des victimes, démantelant ainsi efficacement l'infrastructure du botnet, depuis les PC des victimes jusqu'aux ordinateurs des opérateurs du malware.
Avant d’apprendre comment le FBI a désinstallé Qakbot des ordinateurs, il est essentiel de comprendre comment le malware a été distribué, quel comportement malveillant il a exécuté et qui l’a utilisé.
Qakbot, alias Qbot et Pinkslipbot, a débuté comme cheval de Troie bancaire en 2008, utilisé pour voler des informations d'identification bancaires, des cookies de sites Web et des cartes de crédit pour commettre des fraudes financières.
Cependant, au fil du temps, le logiciel malveillant a évolué pour devenir un service de distribution de logiciels malveillants utilisé par d'autres acteurs malveillants pour obtenir un premier accès aux réseaux afin de mener des attaques de ransomware, des vols de données et d'autres cyberactivités malveillantes.
Qakbot est distribué via des campagnes de phishing qui utilisent divers leurres, notamment des attaques par courrier électronique en chaîne de réponse, c'est-à-dire lorsque les acteurs malveillants utilisent un fil de discussion volé, puis y répondent avec leur propre message et un document malveillant joint.
Ces e-mails incluent généralement des documents malveillants sous forme de pièces jointes ou de liens permettant de télécharger des fichiers malveillants qui installent le logiciel malveillant Qakbot sur l'appareil d'un utilisateur.
Ces documents varient selon les campagnes de phishing et vont des documents Word ou Excel contenant des macros malveillantes, des fichiers OneNote avec des fichiers intégrés, aux pièces jointes ISO avec des exécutables et des raccourcis Windows. Certains d’entre eux sont également conçus pour exploiter les vulnérabilités Zero Day de Windows.
Quelle que soit la manière dont le malware est distribué, une fois Qakbot installé sur un ordinateur, il sera injecté dans la mémoire d'un processus Windows légitime, tel que wermgr.exe ou AtBroker.exe, pour tenter d'échapper à la détection par un logiciel de sécurité.
Par exemple, l'image ci-dessous représente le malware Qbot injecté dans la mémoire du processus légitime wermgr.exe.
Une fois le malware lancé sur un appareil, il recherchera les informations à voler, y compris les e-mails d'une victime, pour les utiliser dans de futures campagnes de phishing par e-mail.
Cependant, les opérateurs de Qakbot se sont également associés à d’autres acteurs malveillants pour faciliter la cybercriminalité, par exemple en fournissant aux gangs de ransomwares un accès initial aux réseaux d’entreprise.
Dans le passé, Qakbot s'est associé à plusieurs opérations de ransomware, notamment Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex et, plus récemment, Black Basta et BlackCat/ALPHV.
Le FBI affirme qu’entre octobre 2021 et avril 2023, les opérateurs de Qakbot ont gagné environ 58 millions de dollars grâce aux paiements de ransomwares.
Dans le cadre de l'annonce d'aujourd'hui, le FBI déclare avoir réussi à démanteler le botnet en s'emparant de l'infrastructure du serveur de l'attaquant et en créant un outil de suppression spécial qui a désinstallé le malware Qakbot des appareils infectés.
Selon une demande de mandat de saisie publiée par le ministère de la Justice, le FBI a pu accéder aux ordinateurs administratifs de Qakbot, ce qui a aidé les forces de l'ordre à cartographier l'infrastructure de serveur utilisée dans le fonctionnement du botnet.
Sur la base de son enquête, le FBI a déterminé que le botnet Qakbot utilisait des serveurs de commande et de contrôle de niveau 1, 2 et 3, qui sont utilisés pour émettre des commandes à exécuter, installer des mises à jour de logiciels malveillants et télécharger des charges utiles supplémentaires de partenaires sur les appareils. .
Les serveurs de niveau 1 sont des appareils infectés sur lesquels est installé un module « supernode » qui fait partie de l'infrastructure de commande et de contrôle du botnet, certaines des victimes étant situées aux États-Unis. Les serveurs de niveau 2 sont également des serveurs de commande et de contrôle, mais les opérateurs Qakbot les exploitent, généralement à partir de serveurs loués en dehors des États-Unis.