La FBI, en collaboration avec plusieurs partenaires internationaux, a réussi à démanteler Qakbot, considéré comme le réseau malveillant de botnet le plus important et le plus perturbateur existant.
Dans une annonce vidéo publiée par la FBI, son directeur, Christopher Wray, a déclaré que le botnet avait été utilisé par d'innombrables cybercriminels, y compris des opérateurs de ransomware, pour cibler des organisations de toutes tailles et de tous secteurs, à travers les États-Unis.
"Les victimes vont des institutions financières sur la côte Est à un sous-traitant gouvernemental d'infrastructure critique dans le Midwest, en passant par un fabricant de dispositifs médicaux sur la côte Ouest", a déclaré Wray. "Ce botnet fournissait à des cybercriminels comme ceux-ci une infrastructure de commande et de contrôle composée de centaines de milliers d'ordinateurs utilisés pour mener des attaques contre des individus et des entreprises du monde entier."
Les attaques de ransomware
Qakbot a facilité au moins 40 attaques de ransomware qui ont entraîné des centaines de millions de dollars de dommages. Des opérateurs de ransomware de haut profil, tels que Conti, REvil, BlackBasta et d'autres, étaient des clients fréquents de Qaknet.
Le botnet a exploité plus de 700 000 points d'extrémité, dont environ 200 000 sur le sol américain.
Au cours de l'opération, nommée "Duck Hunt", la FBI a réussi à rediriger le trafic du botnet vers des serveurs sous le contrôle de l'agence, ce qui lui a permis de déployer un désinstalleur sur tous les appareils affectés. En d'autres termes, il a envoyé une commande à tous les malwares installés pour se désinstaller eux-mêmes. Les victimes ne savaient jamais ce qui s'était passé, mais la FBI a déclaré qu'elle les avait informées en utilisant les informations d'adresse IP et de routage utilisées lors du déploiement du désinstalleur.
De plus, la FBI a réussi à infiltrer un ordinateur appartenant à l'un des administrateurs de Qakbot et à récupérer des documents importants.
Selon les documents judiciaires, "ces fichiers comprenaient des communications (par exemple, des chats discutés en détail ci-dessous) entre les administrateurs de Qakbot et les co-conspirateurs et un répertoire contenant plusieurs fichiers contenant des informations sur les portefeuilles de monnaie virtuelle". "Un autre fichier, trouvé ailleurs sur le même ordinateur, nommé 'payments.txt', contenait une liste de victimes de ransomware, des détails sur le groupe de ransomware, des détails sur le système informatique, des dates, et une indication de la quantité de BTC payée aux administrateurs de Qakbot en relation avec l'attaque de ransomware."