ایالات متحده بات‌نت QakBot را که ۷۰۰۰۰۰ کامپیوتر را تحت تأثیر قرار داده بود، از کار انداخت.

QakBot که با نام‌های QBot و Pinkslipbot نیز شناخته می‌شود، فعالیت خود را به عنوان یک تروجان بانکی در سال ۲۰۰۷ آغاز کرد و سپس به یک مرکز توزیع بدافزار در دستگاه‌های آلوده، از جمله باج‌افزار، تبدیل شد. برخی از انواع باج‌افزار QakBot شامل Conti، ProLock، Egregor، REvil، MegaCortex و Black Basta هستند. اعتقاد بر این است که کنترل‌کنندگان QakBot بین اکتبر ۲۰۲۱ تا آوریل ۲۰۲۳ تقریباً ۵۸ میلیون دلار باج از قربانیان جمع‌آوری کرده‌اند.

این بدافزار ماژولار که اغلب از طریق ایمیل‌های فیشینگ توزیع می‌شود، مجهز به قابلیت اجرای دستورات و جمع‌آوری اطلاعات است. QakBot در طول حیات خود به طور مداوم به‌روزرسانی شده است. وزارت دادگستری اعلام کرد که رایانه‌های آلوده به این بدافزار بخشی از یک بات‌نت هستند، به این معنی که عاملان می‌توانند از راه دور تمام رایانه‌های آلوده را به صورت هماهنگ کنترل کنند.

طبق اسناد دادگاه، این عملیات به زیرساخت QakBot دسترسی پیدا کرد و از آنجا توانست ترافیک بات‌نت را از طریق سرورهای تحت کنترل FBI هدایت کند، با هدف نهایی غیرفعال کردن زنجیره تأمین مجرمان. این سرورها به رایانه‌های آلوده دستور می‌دادند تا یک حذف‌کننده نرم‌افزار را که برای حذف آنها از بات‌نت QakBot طراحی شده بود، دانلود کنند و عملاً از توزیع اجزای بدافزار اضافی جلوگیری کنند.

QakBot با گذشت زمان، پیچیدگی فزاینده‌ای از خود نشان داده و به سرعت تاکتیک‌های خود را برای سازگاری با اقدامات امنیتی جدید تغییر می‌دهد. پس از آنکه مایکروسافت به طور پیش‌فرض ماکروها را در تمام برنامه‌های آفیس غیرفعال کرد، این بدافزار از اوایل امسال شروع به استفاده از فایل‌های OneNote به عنوان واسطه‌ای برای آلودگی کرد.

پیچیدگی و سازگاری همچنین در "سلاح‌سازی" فرمت‌های مختلف فایل مانند PDF، HTML و ZIP در زنجیره حمله QakBot نهفته است. اکثر سرورهای فرماندهی و کنترل این بدافزار در ایالات متحده، انگلستان، هند، کانادا و فرانسه قرار دارند، در حالی که گمان می‌رود زیرساخت پشتیبانی آن در روسیه واقع شده باشد.

QakBot، مانند Emotet و IcedID، از یک سیستم سرور سه لایه برای کنترل و ارتباط با بدافزارهای نصب شده روی رایانه‌های آلوده استفاده می‌کند. هدف اصلی سرورهای لایه اول و دوم، ارسال ارتباطات رمزگذاری شده بین دستگاه‌های آلوده و سرور لایه سوم کنترل کننده بات نت است.

تا اواسط ژوئن ۲۰۲۳، ۸۵۳ سرور Tier 1 در ۶۳ کشور شناسایی شده بودند که سرورهای Tier 2 به عنوان پروکسی برای پنهان کردن سرور کنترل اصلی عمل می‌کردند. داده‌های جمع‌آوری‌شده توسط Abuse.ch نشان می‌دهد که همه سرورهای QakBot اکنون آفلاین هستند.

طبق گزارش HP Wolf Security، QakBot همچنین یکی از فعال‌ترین خانواده‌های بدافزار در سه‌ماهه دوم سال ۲۰۲۳ با ۱۸ زنجیره حمله و ۵۶ کمپین بوده است. این نشان دهنده روندی از گروه‌های جنایتکار است که سعی می‌کنند به سرعت از آسیب‌پذیری‌های سیستم‌های امنیت سایبری برای کسب درآمد غیرقانونی سوءاستفاده کنند.