ארה"ב פירקה את רשת הבוטים QakBot שפגעה ב-700,000 מחשבים

[מודעה_1]

על פי The Hacker News , QakBot היא זן ידוע של תוכנות זדוניות לווינדוס, שלפי ההערכות פרצה ליותר מ-700,000 מחשבים ברחבי העולם ומאפשרת הונאות פיננסיות וכן תוכנות כופר.

משרד המשפטים האמריקאי מסר כי הנוזקה מוסרת ממחשבי הקורבנות, ובכך מונעת ממנה לגרום נזק נוסף, והרשויות תפסו מטבעות קריפטוגרפיים בלתי חוקיים בשווי של יותר מ-8.6 מיליון דולר.

המבצע חוצת הגבולות, בו השתתפו צרפת, גרמניה, לטביה, רומניה, הולנד, בריטניה וארצות הברית, בתמיכה טכנית מחברת הסייבר Zscaler, היה השיבוש הפיננסי והטכני הגדול ביותר בהובלת ארה"ב לתשתית בוטנטים המשמשת פושעי סייבר, אם כי לא דווח על מעצרים.

FBI triệt phá mạng botnet QakBot gây ảnh hưởng 700.000 máy tính - Ảnh 1. — מודל בקרת הבוטנט של QakBot

QakBot, הידוע גם בשם QBot ו-Pinkslipbot, החל לפעול כטרויאנית בנקאית בשנת 2007 לפני שעבר לשמש כמרכז הפצה של תוכנות זדוניות על מכונות נגועים, כולל תוכנות כופר. חלק מתוכנות הכופר של QakBot כוללות את Conti, ProLock, Egregor, REvil, MegaCortex ו-Black Basta. מפעילי QakBot ההערכה היא שקיבלו כ-58 מיליון דולר בתשלומי כופר מקורבנות בין אוקטובר 2021 לאפריל 2023.

התוכנה הזדונית המודולרית, המופצת לעתים קרובות באמצעות דוא"ל פישינג, מצוידת ביכולות ביצוע פקודות ואיסוף מידע. QakBot עודכן באופן רציף לאורך כל קיומה. משרד המשפטים האמריקאי מסר כי המחשבים שנדבקו בתוכנה הזדונית היו חלק מרשת בוטים, כלומר התוקפים יכלו לשלוט מרחוק בכל המחשבים הנגועים בצורה מתואמת.

על פי מסמכי בית המשפט, המבצע גישש לתשתית QacBot, מה שאפשר לו להפנות את תעבורת הבוטנטים דרך שרתים בשליטת ה-FBI, ובסופו של דבר השבית את שרשרת האספקה של הפושעים. השרתים הורו למחשבים שנפרצו להוריד תוכנת הסרה שנועד להסיר מכונות מבוטנט QacBot, ובכך למעשה למנוע הפצה של רכיבי תוכנה זדונית נוספים.

QacBot הפגין תחכום גובר עם הזמן, ושינה במהירות טקטיקות כדי להתאים אותן לאמצעי אבטחה חדשים. לאחר שמיקרוסופט השביתה פקודות מאקרו כברירת מחדל בכל יישומי Office, התוכנה הזדונית החלה להשתמש בקבצי OneNote כווקטור הדבקה מוקדם יותר השנה.

התחכום והיכולת להסתגל טמונים גם בשימוש בפורמטים מרובים של קבצים כמו PDF, HTML ו-ZIP בשרשרת ההתקפה של QakBot. רוב שרתי הפיקוד והבקרה של הנוזקה ממוקמים בארה"ב, בריטניה, הודו, קנדה וצרפת, בעוד שתשתית ה-back-end ממוקמת ככל הנראה ברוסיה.

QakBot, כמו Emotet ו-IcedID, משתמש במערכת שרתים בת שלוש שכבות כדי לשלוט ולתקשר עם תוכנות זדוניות המותקנות במחשבים נגועים. המטרה העיקרית של השרתים הראשיים והמשניים היא להעביר תקשורת מוצפנת בין מחשבים נגועים לשרת השלישי ששולט ברשת הבוטים.

נכון לאמצע יוני 2023, זוהו 853 שרתי Tier-1 ב-63 מדינות, כאשר שרתי Tier-2 משמשים כשרתים פרוקסי (proxies) כדי להסוות את שרת הבקרה הראשי. נתונים שנאספו על ידי Abuse.ch מראים שכל שרתי QakBot אינם מקוונים כעת.

לפי HP Wolf Security, QakBot הייתה גם אחת ממשפחות הנוזקות הפעילות ביותר ברבעון השני של 2023 עם 18 שרשראות תקיפה ו-56 קמפיינים. זה מראה את המגמה של קבוצות פשע שמנסות לנצל במהירות פגיעויות בהגנות רשת למטרות רווחים בלתי חוקיים.

[מודעה_2]
קישור למקור

תגית: בוטנט ה-FBI כופר

תגובה (0)

הכי פופולרי

החדש ביותר

No data