FBI La Commission européenne conduit les agences à fermer le site Qakbot et saisit des millions de dollars en bitcoins.

À la fin du mois d'août, le FBI, en collaboration avec les services répressifs du monde entier, a annoncé une perturbation proactive du réseau de zombies Qakbot . Selon le communiqué de presse DOJ , "le code malveillant Qakbot est supprimé des ordinateurs des victimes, ce qui l'empêche de nuire davantage". Le ministère a également annoncé la saisie d'environ 8,6 millions de dollars en crypto-monnaie au titre de profits illicites."

En utilisant des techniques d'enquête traditionnelles ainsi que le traçage de la blockchain, le FBI et ses partenaires ont été en mesure d'identifier, de suivre et de saisir des bitcoins d'une valeur de plus de 8 600 000 dollars. 

Historique de Qakbot

Qakbot, alias Qbot et Pinkslipbot, est une variante de logiciel malveillant sophistiqué et un réseau de zombies utilisé depuis 2008 dans le cadre d'activités cybercriminelles, notamment le Rançonlogiciel et l'exfiltration des données des victimes, et principalement diffusé par le biais de campagnes d'hameçonnage par courrier électronique. En bref, divers groupes criminels affiliés utilisent le réseau de zombies pour infecter les ordinateurs des victimes et exigent ensuite le paiement d'une "rançon" afin de supprimer le réseau de zombies des ordinateurs des victimes. 

Selon Bryan Smith, chef de section de la division cybernétique du FBI , un grand nombre des principaux groupes de Rançonlogiciel , dont Conti, ProLock, Egregor, REvil, Black Basta et d'autres, ont tous utilisé Qakbot pour extorquer des victimes de Rançonlogiciel . "Comme d'autres variantes de logiciels malveillants, Qakbot est devenu un courtier d'accès initial pour d'autres cybercriminels. Je ne saurais trop insister sur le fait que les courtiers d'accès initial sont essentiels à l'écosystème de la cybercriminalité et que le véritable impact d'un réseau de zombies dépend de la manière dont il est utilisé.

Le FBI enquête sur le logiciel malveillant et le réseau de zombies Qakbot sous ses différentes formes depuis 2011. L'enquête a révélé l'existence d'une infrastructure et le fait que les ordinateurs des victimes se trouvaient dans le monde entier. Les chiffres exacts ont varié au fil du temps, mais en 2023, on comptait environ 700 000 victimes de Qakbot dans le monde, dont plus de 200 000 infections aux États-Unis. Le nombre total d'infections au cours de la durée de vie de Qakbot est estimé à plusieurs millions.

Le chef de section Bryan Smith, dont le programme a supervisé l'enquête sur les crypto-monnaies, a estimé qu'au total, le déploiement du botnet Qakbot a entraîné des centaines de millions de dollars de pertes pour les victimes du monde entier. Les affiliés versent à leur tour une commission, généralement de 10 à 20 % du montant de la rançon, aux administrateurs de Qakbot . 

Comme l'indique l'affidavit du mandat de saisie, les agents ont été en mesure de retracer les recettes de Rançonlogiciel depuis les affiliés jusqu'aux administrateurs de Qakbot , puis de saisir les recettes auprès des administrateurs. Par exemple, l'affidavit décrit plus de 44 paiements d'extorsion en bitcoins provenant du groupe Black Basta de Rançonlogiciel et destinés aux administrateurs de Qakbot . Les enquêteurs ont pu obtenir des discussions internes de l'équipe de Qakbot montrant que le paiement de 44,066491 à "Subject Address 1" était un paiement proportionnel provenant de Black Basta.

‍

‍

De même, l'affidavit décrit "l'adresse de l'objet 2" comme une commission de 10 pour cent liée au prix de l'extorsion de Rançonlogiciel d'un affilié de Rançonlogiciel .

‍

‍

Le chef de section Smith a donné des précisions sur l'utilisation de la blockchain et des outils permettant de suivre l'argent :

"Dans le cas des crypto-monnaies, il y a quelques difficultés dues à la nature anonyme des transactions et à la vitesse à laquelle la valeur peut être déplacée, mais il y a aussi des avantages pour les enquêtes à avoir une blockchain ouverte qui fournit une empreinte numérique permanente que nous pouvons analyser et relier à d'autres activités". Le FBI s'est rendu compte dès 2013 que les crypto-monnaies n'allaient pas disparaître. Nous avons donc créé notre première équipe spécialisée dans les monnaies virtuelles afin de tracer les crypto-monnaies, de renforcer les capacités et la sensibilisation au sein du FBI, et de former nos employés et nos partenaires. Ce travail s'est développé au fil des ans et nous avons vu les crypto-monnaies passer d'un marché de niche utilisé par les cybercriminels et les facilitateurs de blanchiment d'argent à un rôle dans pratiquement toutes les infractions dont le FBI est responsable".

‍
‍Ledémontage

Le 25 août 2023, le FBI et ses partenaires internationaux ont mené des actions de répression contre l'infrastructure de Qakbot dans le monde entier :

• Redirection du trafic du réseau de zombies vers un serveur contrôlé par le FBI
• Suppression du logiciel malveillant Qakbot des victimes infectées et démantèlement de son infrastructure mondiale
• Saisie ou gel d'environ 8,6 millions de dollars de crypto-monnaie, qui représentent le produit de gains mal acquis.
• Lancement du programme Rewards for Justice du Département d'État pour obtenir des informations sur le groupe Qakbot

Le FBI et ses partenaires ont pu y parvenir grâce à la collaboration et à l'utilisation de techniques d'enquête orientées vers l'avenir. Par exemple, le chef de section Smith a expliqué : "Tout d'abord, nous avons pénétré dans le réseau de Qakbot et nous avons pu le cartographier dans son intégralité. Grâce à une autorisation légale, nous avons ensuite pris le contrôle des serveurs de commande et de contrôle de Qakbot et redirigé le trafic vers un serveur sous le contrôle du FBI. Avec l'autorisation des tribunaux américains, nous avons ensuite facilité la suppression du logiciel malveillant Qakbot des machines des victimes en mettant à jour le logiciel malveillant Qakbot avec un outil de suppression". 

Cette approche proactive d'une perturbation impliquant plusieurs agences et plusieurs facettes est le résultat d'une persévérance et d'une collaboration. Le FBI et le DOJ ont travaillé avec de nombreux partenaires étrangers, ainsi qu'avec Europol et Eurojust, pour identifier et démanteler l'infrastructure. Les partenaires étrangers comprenaient l'Allemagne, les Pays-Bas, la France, la Roumanie, la Lettonie et le Royaume-Uni, ainsi que plusieurs bureaux du FBI, dont Los Angeles, Milwaukee et New Haven.

Pourquoi c'est important

Le FBI et ses partenaires adoptent une approche multidimensionnelle des stratégies de lutte contre la cybercriminalité. Le FBI et ses partenaires visent à neutraliser complètement les acteurs de la cybercriminalité en démantelant le système de diffusion des logiciels malveillants, l'ensemble de l'infrastructure et le réseau de communication, et en saisissant tous les produits de la criminalité. 

Pour aider les victimes, le FBI s'est appuyé sur les capacités du secteur privé dans le cadre du programme "Have I Been Pwned". Le public peut se rendre sur le site haveibeenpwned.com et entrer son adresse électronique pour déterminer s'il a été victime de Qakbot.

En outre, le FBI s'est associé à la CISA, à la Microsoft Digital Crimes Unit, à la National Cyber Forensics and Training Alliance, à Shadowserver et à ZScaler pour contribuer à la notification des victimes et à la prise de mesures correctives. 

Les organisations devraient envisager de contacter la CISA (ou l'équivalent dans leur pays) et leur fournisseur d'accès à Internet et s'informer de la disponibilité d'alertes gratuites de notification aux victimes et de services associés. 

Enfin, il convient de rappeler aux victimes que Qakbot facilite l'accès aux réseaux compromis. Souvent, des logiciels malveillants et des outils supplémentaires ont ensuite été utilisés par des acteurs criminels pour voler des données, déployer le Rançonlogiciel ou réaliser des opérations frauduleuses. Ainsi, même si le FBI a supprimé Qakbot des machines des victimes, il est possible que d'autres logiciels malveillants résident encore sur le système.