Démantèlement de l’infrastructure de réseau de machines Qakbot

Découvert dès 2008, Qakbot est considéré comme un ver informatique avec une capacité d’auto-réplication présent sur plus de 700 000 machines compromises dans le monde entier avant son démantèlement. Ce botnet, qui était à la base un cheval de Troie prolifique dédié au vol de données bancaires, s’est adapté pour cibler la victimologie la plus large possible au fil du temps. L’infrastructure a été utilisée par de nombreux groupes cybercriminels, dont le collectif Gold Lagoon est le plus connu.

L’opération policière, baptisée Duck Hunt, a permis la prise de contrôle de l’infrastructure, ainsi que la saisie de 8,6 millions de dollars en cryptomonnaies. L’enquête indique que les différents opérateurs de Qakbot ont pu percevoir jusqu’à 58 millions de dollars de rançons payées par leurs victimes, rien que pour la période entre octobre 2021 et avril 2023.

Dans un second temps, cette opération a également permis le déploiement d’un utilitaire sur les centaines de milliers de machines compromises pour désinstaller Qakbot.

Six serveurs sur les 170 que comptait le réseau criminel étaient situés en France, et près de 26 000 machines auraient été compromises sur le territoire français. La police néerlandaise a mis en ligne un site (en anglais) permettant de vérifier si son périphérique a pu être infecté.

Il est également possible de porter plainte depuis le site de l’agence française Cybermalveillance.  

Des indicateurs de compromission (serveurs C2) sont disponibles sur la plateforme abuse.ch. Ces derniers peuvent être utilisés par les équipes de sécurité pour mener des investigations post-mortem sur leurs infrastructures.