Le cybermonde salue la chute du cheval de Troie Qakbot

Chasse Qakbot

L’unité de lutte contre les menaces (CTU) de Secureworks est à la traîne de Qakbot depuis un certain temps et, plus tôt cette année, l’équipe du CTU, sous la direction du vice-président Don Smith, a pu suivre et observer l’activité transitant par l’un des serveurs de commandement et de contrôle (C2) de Qakbot.

Au cours de cette opération, l’équipe a également pris des mesures pour s’assurer que le serveur ne transmettait aucun trafic malveillant à l’infrastructure backend, le rendant effectivement inutilisable pour les opérateurs de Qakbot, qui sont suivis comme Gold Lagoon dans la matrice des acteurs de menaces Secureworks.

L’équipe a vu 10 000 machines infectées dans 153 pays se connecter au serveur sur une période de quatre mois, dont au moins 5 000 étaient connectées à un domaine, ce qui signifie qu’elles étaient détenues et exploitées par une entreprise ou une autre organisation, et non par un particulier.

Parce que Qakbot a utilisé des identifiants de campagne pour suivre ses opérations, l’équipe de Smith a pu suivre trois campagnes distinctes au cours de la période, BB, Obama et Snow. Les campagnes BB et Obama ciblaient toutes deux des systèmes en Amérique du Nord et en Europe occidentale, tandis que la campagne Snow ciblait un certain nombre d’autres zones géographiques, principalement en Amérique du Sud et en Asie-Pacifique. Ils ont déclaré que cela suggérait que les opérateurs de Qakbot étaient en mesure de cibler spécifiquement les victimes régionales en fonction des exigences de leur « cuser ».tomers ».

L’infrastructure backend elle-même était basée en Russie, où elle est entièrement située depuis début 2021, lorsque, à la suite de la perturbation du botnet rival Emotet, ses opérateurs se sont retirés d’autres zones géographiques, notamment l’Allemagne, les Pays-Bas et les États-Unis. L’équipe du CTU a observé que cette infrastructure se calmait vers 11h30 dans la soirée du vendredi 25 août, lorsque le démontage a commencé.

Ils ont déclaré que les efforts robustes déployés par les forces de l’ordre devraient à la fois réduire le nombre d’hôtes infectés et entraver toute tentative de Gold Lagoon de reprendre le contrôle du botnet Qakbot.

S’exprimant lorsque la nouvelle du démantèlement a éclaté, Smith a déclaré: « Qakbot était un adversaire important qui représentait une menace sérieuse pour les entreprises du monde entier. Conçues pour la cybercriminalité, les infections Qakbot ont conduit au déploiement de certains des ransomwares les plus sophistiqués et les plus dommageables.

« Qakbot a évolué au fil des ans pour devenir une partie flexible de l’arsenal du criminel », a-t-il ajouté. « Sa suppression doit être saluée. »

D’autres ont exprimé des sentiments similaires. Roger Grimes, évangéliste de la défense axée sur les données chez KnowBe4, était parmi eux. « J’applaudis le FBI et ses partenaires à travers le monde », a-t-il déclaré. « Merveilleuse nouvelle! Ces types de démantèlement étaient assez rares, mais deviennent de plus en plus fréquents avec le temps. Ce n’est pas une mince affaire de coordonner un démantèlement international.

« Il faut beaucoup de talents techniques et juridiques », a déclaré Grimes. « C’était formidable d’apprendre que le FBI avait pris le contrôle d’au moins un des serveurs criminels et l’avait utilisé pour rediriger les nœuds exploités vers un serveur plus sûr où le FBI a essayé de désinstaller automatiquement Qakbot sur les ordinateurs touchés. »

Grimes a déclaré qu’historiquement, un tel nettoyage proactif avait été rare et souvent controversé, car s’il n’était pas bien fait, les choses pouvaient très mal tourner, et il y a eu des cas de cyberexperts bien intentionnés qui se sont impliqués et ont aggravé la situation.

« Le FBI et ses partenaires techniques semblent faire le bon nettoyage, avec un impact opérationnel légitime minimal », a-t-il déclaré. « Je suis heureux que le FBI et ses partenaires aient décidé qu’un nettoyage proactif en valait la peine. Cela améliore non seulement la vie des personnes exploitées et des organisations qui ont installé Qakbot, mais aussi celle des prochaines victimes innocentes. »

John Fokker de Trellix, responsable du renseignement sur les menaces au Centre de recherche avancée de l’organisation, a ajouté: « Le processus de démantèlement n’est pas une partie de plaisir, parlant de notre expérience avec notre récente implication dans le démantèlement du marché Genesis et les arrestations de REvil. La lutte contre la cybercriminalité nécessite une quantité respectable de dévouement et de collaboration pour démanteler les subtilités des infrastructures de ransomware.

« L’augmentation des retraits et des arrestations montre que les cybercriminels doivent surveiller leurs arrières », a-t-il déclaré. « Les forces de l’ordre et l’industrie cherchent toutes les occasions de perturber les acteurs de la menace, et d’autres retraits sont imminents. »

Ils seront de retour

Cependant, bien que la perturbation de Qakbot soit un revers pour de nombreuses opérations cybercriminelles, elle fera probablement relativement peu pour lutter contre le fléau de la cybercriminalité en général.

Sandra Joyce, vice-présidente de Mandiant Intelligence chez Google Cloud, a déclaré que le modèle économique de la cybercriminalité avait de solides fondements et ne serait pas facilement perturbé. Il est probable que les gangs de rançongiciels qui l’ont utilisé se tourneront vers d’autres outils ou se rabattront rapidement sur les services de courtiers d’accès initial.

« Bon nombre des outils dont nous disposons n’auront pas d’effets à long terme », a-t-elle déclaré. « Ces groupes se rétabliront et ils seront de retour. Mais nous avons l’obligation morale de perturber ces opérations chaque fois que cela est possible. »