USA afviklede QakBot-botnettet, som påvirkede 700.000 computere.

Den grænseoverskridende operation involverede Frankrig, Tyskland, Letland, Rumænien, Holland, Storbritannien og USA med teknisk støtte fra cybersikkerhedsfirmaet Zscaler. Det var den største amerikansk-ledede aktion, der havde til formål at forstyrre botnet-infrastrukturen, der blev brugt af cyberkriminelle, økonomisk og teknisk, selvom der ikke blev annonceret nogen anholdelser.

QakBot, også kendt som QBot og Pinkslipbot, begyndte at fungere som en banktrojan i 2007, før den overgik til et distributionscenter for malware på inficerede maskiner, herunder ransomware. Nogle ransomware-varianter af QakBot inkluderer Conti, ProLock, Egregor, REvil, MegaCortex og Black Basta. De, der kontrollerer QakBot, menes at have indsamlet cirka 58 millioner dollars i løsepenge fra ofre mellem oktober 2021 og april 2023.

Denne modulære malware, der ofte distribueres via phishing-e-mails, er udstyret med evnen til at udføre kommandoer og indsamle oplysninger. QakBot er blevet løbende opdateret gennem hele sin levetid. Det amerikanske justitsministerium udtalte, at computere inficeret med denne malware er en del af et botnet, hvilket betyder, at gerningsmændene kan fjernstyre alle inficerede computere på en koordineret måde.

Ifølge retsdokumenter tilgik operationen QakBot-infrastrukturen, hvorfra den kunne omdirigere botnet-trafik gennem FBI-kontrollerede servere med det endelige mål at deaktivere den kriminelle forsyningskæde. Disse servere instruerede kompromitterede computere i at downloade et afinstallationsprogram, der var designet til at fjerne dem fra QakBot-botnettet, hvilket effektivt forhindrede distributionen af ​​yderligere malware-komponenter.

QakBot har vist sig at være stadig mere sofistikeret over tid og har hurtigt ændret taktikker for at tilpasse sig nye sikkerhedsforanstaltninger. Efter at Microsoft som standard deaktiverede makroer i alle Office-programmer, begyndte denne malware at bruge OneNote-filer som et infektionsmedie tidligere på året.

Sofistikeringen og tilpasningsevnen ligger også i "våbenudnyttelsen" af forskellige filformater som PDF, HTML og ZIP i QakBot-angrebskæden. Størstedelen af ​​denne malwares kommando- og kontrolservere er placeret i USA, Storbritannien, Indien, Canada og Frankrig, mens den understøttende infrastruktur menes at være placeret i Rusland.

QakBot bruger, ligesom Emotet og IcedID, et tredelt serversystem til at kontrollere og kommunikere med malware installeret på inficerede computere. Det primære formål med serverne på første og andet niveau er at videresende krypteret kommunikation mellem inficerede maskiner og serveren på tredje niveau, der kontrollerer botnettet.

Midt i juni 2023 var der identificeret 853 Tier 1-servere i 63 lande, hvor Tier 2-servere fungerede som proxyer for at skjule den primære kontrolserver. Data indsamlet af Abuse.ch viser, at alle QakBot-servere nu er offline.

Ifølge HP Wolf Security var QakBot også en af ​​de mest aktive malwarefamilier i 2. kvartal 2023 med 18 angrebskæder og 56 kampagner. Dette viser en tendens til, at kriminelle grupper hurtigt forsøger at udnytte sårbarheder i cybersikkerhedssystemer til ulovlig gevinst.