Οι ΗΠΑ εξουδετερώνουν το botnet QakBot που επηρέασε 700.000 υπολογιστές

Σύμφωνα με το The Hacker News , το QakBot είναι ένα γνωστό στέλεχος κακόβουλου λογισμικού των Windows που εκτιμάται ότι έχει παραβιάσει περισσότερους από 700.000 υπολογιστές παγκοσμίως και διευκολύνει την οικονομική απάτη καθώς και τα ransomware.

Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) δήλωσε ότι το κακόβουλο λογισμικό αφαιρείται από τους υπολογιστές των θυμάτων, αποτρέποντάς το από το να προκαλέσει περαιτέρω βλάβη, και οι αρχές έχουν κατασχέσει περισσότερα από 8,6 εκατομμύρια δολάρια σε παράνομα κρυπτονομίσματα.

Η διασυνοριακή επιχείρηση, στην οποία συμμετείχαν η Γαλλία, η Γερμανία, η Λετονία, η Ρουμανία, η Ολλανδία, το Ηνωμένο Βασίλειο και οι ΗΠΑ, με τεχνική υποστήριξη από την εταιρεία κυβερνοασφάλειας Zscaler, ήταν η μεγαλύτερη οικονομική και τεχνική διαταραχή της υποδομής botnet που χρησιμοποιούν οι κυβερνοεγκληματίες, υπό την ηγεσία των ΗΠΑ, αν και δεν ανακοινώθηκαν συλλήψεις.

Το QakBot, επίσης γνωστό ως QBot και Pinkslipbot, άρχισε να λειτουργεί ως τραπεζικό trojan το 2007 πριν μετατραπεί σε κέντρο διανομής κακόβουλου λογισμικού σε μολυσμένα μηχανήματα, συμπεριλαμβανομένου του ransomware. Μερικά από τα ransomware από το QakBot περιλαμβάνουν τα Conti, ProLock, Egregor, REvil, MegaCortex και Black Basta. Οι χειριστές του QakBot πιστεύεται ότι έχουν λάβει περίπου 58 εκατομμύρια δολάρια σε πληρωμές λύτρων από τα θύματα μεταξύ Οκτωβρίου 2021 και Απριλίου 2023.

Συχνά διανέμεται μέσω email ηλεκτρονικού "ψαρέματος" (phishing), το αρθρωτό κακόβουλο λογισμικό είναι εξοπλισμένο με δυνατότητες εκτέλεσης εντολών και συλλογής πληροφοριών. Το QakBot ενημερώνεται συνεχώς καθ' όλη τη διάρκεια της ύπαρξής του. Το Υπουργείο Δικαιοσύνης δήλωσε ότι οι υπολογιστές που είχαν μολυνθεί με το κακόβουλο λογισμικό ήταν μέρος ενός botnet, που σημαίνει ότι οι δράστες μπορούσαν να ελέγχουν εξ αποστάσεως όλους τους μολυσμένους υπολογιστές με συντονισμένο τρόπο.

Σύμφωνα με δικαστικά έγγραφα, η επιχείρηση απέκτησε πρόσβαση στην υποδομή του QakBot, η οποία της επέτρεψε να ανακατευθύνει την κίνηση του botnet μέσω διακομιστών που ελέγχονται από το FBI, απενεργοποιώντας τελικά την αλυσίδα εφοδιασμού των εγκληματιών. Οι διακομιστές έδωσαν εντολή στους παραβιασμένους υπολογιστές να κατεβάσουν ένα πρόγραμμα απεγκατάστασης που έχει σχεδιαστεί για να αφαιρεί μηχανήματα από το botnet του QakBot, αποτρέποντας αποτελεσματικά τη διανομή πρόσθετων στοιχείων κακόβουλου λογισμικού.

Το QakBot έχει επιδείξει αυξημένη πολυπλοκότητα με την πάροδο του χρόνου, αλλάζοντας γρήγορα τακτικές για να προσαρμοστεί σε νέα μέτρα ασφαλείας. Αφού η Microsoft απενεργοποίησε τις μακροεντολές από προεπιλογή σε όλες τις εφαρμογές του Office, το κακόβουλο λογισμικό άρχισε να χρησιμοποιεί αρχεία OneNote ως φορέα μόλυνσης νωρίτερα φέτος.

Η πολυπλοκότητα και η προσαρμοστικότητα έγκειται επίσης στην οπλοποίηση πολλαπλών μορφών αρχείων όπως PDF, HTML και ZIP στην αλυσίδα επίθεσης του QakBot. Η πλειονότητα των διακομιστών εντολών και ελέγχου του κακόβουλου λογισμικού βρίσκεται στις ΗΠΑ, το Ηνωμένο Βασίλειο, την Ινδία, τον Καναδά και τη Γαλλία, ενώ η υποδομή back-end πιστεύεται ότι βρίσκεται στη Ρωσία.

Το QakBot, όπως και το Emotet και το IcedID, χρησιμοποιεί ένα σύστημα διακομιστών τριών επιπέδων για τον έλεγχο και την επικοινωνία με το κακόβουλο λογισμικό που είναι εγκατεστημένο σε μολυσμένους υπολογιστές. Ο κύριος σκοπός των πρωτευόντων και δευτερευόντων διακομιστών είναι η αναμετάδοση κρυπτογραφημένων επικοινωνιών μεταξύ των μολυσμένων υπολογιστών και του διακομιστή τρίτου επιπέδου που ελέγχει το botnet.

Από τα μέσα Ιουνίου 2023, είχαν εντοπιστεί 853 διακομιστές tier-1 σε 63 χώρες, με τους διακομιστές tier-2 να λειτουργούν ως proxy για να καλύπτουν τον κύριο διακομιστή ελέγχου. Τα δεδομένα που συλλέχθηκαν από το Abuse.ch δείχνουν ότι όλοι οι διακομιστές QakBot είναι πλέον εκτός σύνδεσης.

Σύμφωνα με την HP Wolf Security, το QakBot ήταν επίσης μια από τις πιο ενεργές οικογένειες κακόβουλου λογισμικού στο δεύτερο τρίμηνο του 2023 με 18 αλυσίδες επιθέσεων και 56 καμπάνιες. Αυτό δείχνει την τάση των εγκληματικών ομάδων να προσπαθούν να εκμεταλλευτούν γρήγορα τα τρωτά σημεία στις άμυνες δικτύου για παράνομα κέρδη.