En août dernier, une action internationale avait mis à mal l’infrastructure du botnet Qakbot. Le FBI avait  identifié plus de 700 000 ordinateurs dans le monde, dont plus de 200 000 aux États-Unis. En France, 26 000 systèmes ont été compromis et 6 serveurs sur les 170 à l’origine du bot étaient présents. Ces opérations menées dans plusieurs pays étaient censées porter un coup fatal à ce réseau de PC zombies. Selon les chercheurs de Talos (une entité sécurité de Cisco), les créateurs du botnet demeurent toujours actifs.

Selon leur rapport, ces experts affirment avec « une confiance modérée » que les créateurs et les opérateurs de Qakbot travaillent à une campagne à venir. Ils distribueraient cette fois-ci une variante du malware Knight, qui a changé de nom en juillet après avoir été baptisé Cyclops. Knight est un RaaS (ransomware as a service), distribué par phishing et pratiquant l’extorsion sur les données exfiltrées.

La piste d’anciennes attaques resurgit

L'équipe de Talos a basé son analyse sur l'identification des numéros de série des lecteurs dans les métadonnées des fichiers LNK (raccourcis Windows) des ordinateurs associés aux précédentes attaques de Qakbot. Malgré les tentatives des acteurs de Qakbot de nettoyer les métadonnées des fichiers, les chercheurs ont apparemment pu identifier une machine comme étant liée à ces attaques.

« Certains noms de fichiers sont rédigés en italien, ce qui suggère que les cybercriminels ciblent les utilisateurs de cette région », indique le blog de Talos. « Les fichiers LNK sont distribués dans des archives Zip qui contiennent également un fichier XLL ». Ces derniers, note les experts, sont une extension de format de fichier liée à Microsoft Excel, qui apparaît comme des fichiers .xls ordinaires dans une fenêtre de l'explorateur. S'ils sont ouverts, les fichiers XLL installent la backdoor Remcos, un outil d'administration à distance qui fonctionne de concert avec Knight pour accéder aux systèmes ciblés.

Une menace redoutable

Nonobstant, cela signifie que l’action de répression par le FBI, qui a mis hors service les serveurs de commande et de contrôle de Qakbot en août, n'a donc probablement pas affecté l'infrastructure de phishing du groupe. Il pourrait ainsi reconstruire simplement ses propres systèmes dorsaux pour Qakbot, ce qui entraînerait une résurgence potentielle.

Depuis sa création en 2008, le malware Qakbot a été utilisé dans des attaques par ransomware et autres cybercrimes qui ont causé des centaines de millions de dollars de pertes à des particuliers et à des entreprises aux États-Unis et à l'étranger. Ces dernières années, Qakbot est devenu le botnet de prédilection de certains gangs de ransomwares les plus tristement célèbres, parmi lesquels Conti, ProLock, Egregor, REvil, MegaCortex et Black Basta. Les administrateurs de Qakbot auraient reçu environ 58 M$ au total en rançons payées par les victimes.