Le botnet Qakbot, un réseau malveillant utilisé pour lancer des campagnes de phishing, est encore actif malgré une opération des forces de l’ordre de sept pays, dont la France, pour le neutraliser.

Peut-on réellement stopper un logiciel malveillant ? Alors que les forces de l’ordre de sept pays, dont la France, annonçaient fin août le démantèlement de Qakbot, un rapport d’experts en cybersécurité révèle que ce réseau pour cybercriminel est déjà de retour.

Publiée le 5 octobre par la société Cisco Talos, l’enquête dévoile une nouvelle campagne de phishing menée par Qakbot. Des mails, rédigés en anglais, italien et allemand, sont envoyés à de nombreuses entreprises depuis le mois d’août, sans interruption manifeste.

Les messages font croire à la cible qu’elle a reçu des documents financiers ou comptables. Des pièces jointes contiennent le rançongiciel Ransom Knight, un logiciel malveillant développé par le collectif de hackers Cyclops. D’autres mails distribuent des fichiers avec un cheval de Troie offrant un accès au poste de la victime.

Les experts en cybersécurité estiment que les noms de fichiers utilisés, ainsi que la thématique des opérations financières urgentes, sont caractéristiques des campagnes de Qakbot. Le nombre de victimes est actuellement indéterminé.

Les botnet tels que Qaktbot s'appuient sur des milliers d'appareils infectés pour lancer de vastes campagnes de phishing. // Source : Numerama avec Dall-E
Les botnet tels que Qaktbot s’appuient sur des milliers d’appareils infectés pour lancer de vastes campagnes de phishing. // Source : Numerama avec Dall-E

Une opération conjointe des forces de l’ordre

Qakbot est un puissant botnet, c’est-à-dire un réseau d’ordinateurs et d’appareils électroniques piratés et détournés pour le compte de cybercriminels. Les pirates peuvent utiliser ce programme pour lancer des campagnes de phishing et distribuer leur logiciel malveillant facilement à des milliers de cibles. Des ransomwares sont ainsi propagés grâce à Qakbot. Plus 700 000 appareils servaient de base au botnet pour mener ces campagnes d’infestation.

Les forces de l’ordre de sept pays – les États-Unis, le Royaume-Uni, la France, l’Allemagne, la Roumanie, la Lettonie et les Pays-Bas – ont lancé une opération « chasse aux canards » (« Qak » fait référence au cri de l’oiseau) pour abattre le botnet. Les autorités ont attaqué le programme directement sur les serveurs des cybercriminels afin de le neutraliser à la source. De plus, les forces de l’ordre ont saisi 8,6 millions de dollars de fonds obtenus illégalement par Qakbot. Cette opération internationale avait été fortement mise en avant en août dernier, y compris en France.

L’enquête des experts de Talos laisse croire que toute l’infrastructure de Qakbot n’a pu être démantelée. « Qakbot continuera probablement de représenter une menace importante à l’avenir, car les développeurs n’ont pas été arrêtés et Talos estime qu’ils sont toujours opérationnels », déclare Guilherme Venere, chercheur en menace cyber. Les efforts pour contrer des logiciels malveillants ont certes augmenté, et portent parfois leur fruit, mais les pirates restent encore à l’abri derrière leur écran.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !