Peut-on réellement stopper un logiciel malveillant ? Alors que les forces de l’ordre de sept pays, dont la France, annonçaient fin août le démantèlement de Qakbot, un rapport d’experts en cybersécurité révèle que ce réseau pour cybercriminel est déjà de retour.
Publiée le 5 octobre par la société Cisco Talos, l’enquête dévoile une nouvelle campagne de phishing menée par Qakbot. Des mails, rédigés en anglais, italien et allemand, sont envoyés à de nombreuses entreprises depuis le mois d’août, sans interruption manifeste.
Les messages font croire à la cible qu’elle a reçu des documents financiers ou comptables. Des pièces jointes contiennent le rançongiciel Ransom Knight, un logiciel malveillant développé par le collectif de hackers Cyclops. D’autres mails distribuent des fichiers avec un cheval de Troie offrant un accès au poste de la victime.
Les experts en cybersécurité estiment que les noms de fichiers utilisés, ainsi que la thématique des opérations financières urgentes, sont caractéristiques des campagnes de Qakbot. Le nombre de victimes est actuellement indéterminé.
Une opération conjointe des forces de l’ordre
Qakbot est un puissant botnet, c’est-à-dire un réseau d’ordinateurs et d’appareils électroniques piratés et détournés pour le compte de cybercriminels. Les pirates peuvent utiliser ce programme pour lancer des campagnes de phishing et distribuer leur logiciel malveillant facilement à des milliers de cibles. Des ransomwares sont ainsi propagés grâce à Qakbot. Plus 700 000 appareils servaient de base au botnet pour mener ces campagnes d’infestation.
Les forces de l’ordre de sept pays – les États-Unis, le Royaume-Uni, la France, l’Allemagne, la Roumanie, la Lettonie et les Pays-Bas – ont lancé une opération « chasse aux canards » (« Qak » fait référence au cri de l’oiseau) pour abattre le botnet. Les autorités ont attaqué le programme directement sur les serveurs des cybercriminels afin de le neutraliser à la source. De plus, les forces de l’ordre ont saisi 8,6 millions de dollars de fonds obtenus illégalement par Qakbot. Cette opération internationale avait été fortement mise en avant en août dernier, y compris en France.
L’enquête des experts de Talos laisse croire que toute l’infrastructure de Qakbot n’a pu être démantelée. « Qakbot continuera probablement de représenter une menace importante à l’avenir, car les développeurs n’ont pas été arrêtés et Talos estime qu’ils sont toujours opérationnels », déclare Guilherme Venere, chercheur en menace cyber. Les efforts pour contrer des logiciels malveillants ont certes augmenté, et portent parfois leur fruit, mais les pirates restent encore à l’abri derrière leur écran.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !
