Démantèlement de l’infrastructure du réseau malveillant Qakbot/Qbot
Cybersécurité Qakbot Qbot virus
Communiqué du parquet du Tribunal judiciaire de Paris
Le 26 août 2023, une opération internationale impliquant les autorités policières et judiciaires des États-Unis, de l’Allemagne, des Pays-Bas et de la France a permis le démantèlement de l’infrastructure du réseau malveillant Qakbot (aussi appelé Qbot, ou Pinkslipbot), ainsi que la saisie de 8,6 millions de dollars en crypto-monnaies. La section de lutte contre la cybercriminalité de la Juridiction Nationale de Lutte contre la Criminalité Organisée (JUNALCO) du parquet de Paris a supervisé la partie française.
Le principe d’action des cybercriminels consistait dans un premier temps à déployer leur logiciel malveillant Qakbot au moyen de cyberhameçonnage sur des ordinateurs ciblés, puis d’y implanter d’autres malwares, par exemple de rançongiciels. L’ensemble des machines infestées étaient connectées ensemble sous forme de réseau (botnet), pouvant être vendu comme tel à d’autres cybercriminels. C’est alors seulement que ceux-ci ont pu exiger des rançons en cryptomonnaies, sans même que les victimes aient eu préalablement conscience d’être infectées.
La sous-direction de la lutte contre la cybercriminalité a travaillé en coopération avec les enquêteurs des autres pays, sous la direction des parquets de Paris, Los Angeles, Francfort, et Rotterdam, à l’identification de cette infrastructure. Au total, les enquêteurs ont établi que plus de 700 000 machines dans le monde, dont 26 000 en France, ont à un moment ou un autre été infectées, et que près de 58 millions de dollars de rançons en sont l’effet. Six serveurs sur les 170 à l’origine du bot se trouvaient sur le territoire français.
Dans la nuit du 26 août 2023, le FBI a procédé à la redirection de l’ensemble du trafic vers des serveurs sous son contrôle, libérant toutes les machines du botnet, et rendant celui-ci tout à fait inopérant. L’opération a conduit en outre à la coupure d’une cinquantaine de serveurs répartis entre les quatre pays partenaires, puis à la mise hors opération du reste de l’infrastructure.
Comment savoir si on fait partie des victimes ?
Le site Internet https://politie.nl/checkyourhack de la Police Néerlandaise, permet, en s’y connectant, de savoir si sa machine est infectée (site en anglais).
Si votre opérateur vous contacte, c’est que vous avez à un moment été infecté.
Que faire si vous êtes victime ?
Si votre opérateur vous a informé que l’un de vos équipements a été infecté par le programme malveillant Qakbot, des vérifications de vos ordinateurs et/ou serveurs sous Microsoft Windows sont nécessaires. Pour cela :
– Vérifiez que votre antivirus est en état de fonctionnement et à jour ;
– Faites une analyse antivirale approfondie et complète de vos appareils concernés après avoir vérifié qu’aucun composant (dossier, programme…) n’est exclu de l’analyse ;
– Si votre antivirus détecte des logiciels malveillants, il vous proposera de les « mettre en quarantaine », c’est-à-dire de les empêcher d’agir, voire de les supprimer directement lorsque cela est possible ;
– Redémarrez votre appareil après cette opération.
Retrouvez cette procédure en détail ainsi que les recommandations supplémentaires de Cybermalveillance.gouv.fr en cas d’infection par un virus à l’adresse suivante : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/virus-informatiques#victime-virus
Comment déposer plainte ?
Si vous avez été informé d’une attaque informatique qui a conduit à l’infection de votre système d’information par le programme malveillant Qakbot, vous avez la possibilité de déposer plainte en utilisant le formulaire ci-après de lettre plainte sans avoir à vous rendre dans un commissariat ou une gendarmerie, en l’envoyant par courriel à l’adresse dnpj-sdlc-plainteqakbot@interieur.gouv.fr
Ce formulaire doit être rempli et transmis par voie informatique exclusivement. Il ne doit pas être imprimé, ni rempli manuellement.
