AS membongkar botnet QakBot yang memengaruhi 700.000 komputer

Menurut The Hacker News , QakBot adalah jenis malware Windows terkenal yang diperkirakan telah membahayakan lebih dari 700.000 komputer di seluruh dunia dan memfasilitasi penipuan keuangan serta ransomware.

Departemen Kehakiman AS (DoJ) mengatakan malware tersebut sedang dihapus dari komputer korban, mencegahnya menyebabkan kerusakan lebih lanjut, dan pihak berwenang telah menyita lebih dari $8,6 juta dalam mata uang kripto ilegal.

Operasi lintas batas, yang melibatkan Prancis, Jerman, Latvia, Rumania, Belanda, Inggris, dan AS, dengan dukungan teknis dari firma keamanan siber Zscaler, merupakan tindakan keras terbesar yang dipimpin AS terhadap infrastruktur botnet yang digunakan oleh penjahat siber, meskipun tidak ada penangkapan yang diumumkan.

QakBot, juga dikenal sebagai QBot dan Pinkslipbot, mulai beroperasi sebagai trojan perbankan pada tahun 2007 sebelum beralih menjadi pusat distribusi malware pada mesin yang terinfeksi, termasuk ransomware. Beberapa ransomware dari QakBot antara lain Conti, ProLock, Egregor, REvil, MegaCortex, dan Black Basta. Operator QakBot diyakini telah menerima sekitar $58 juta dalam bentuk pembayaran tebusan dari para korban antara Oktober 2021 dan April 2023.

Sering didistribusikan melalui email phishing, malware modular ini dilengkapi dengan kemampuan eksekusi perintah dan pengumpulan informasi. QakBot terus diperbarui selama keberadaannya. Departemen Kehakiman AS menyatakan bahwa komputer yang terinfeksi malware tersebut merupakan bagian dari botnet, yang berarti para pelaku dapat mengendalikan semua komputer yang terinfeksi dari jarak jauh secara terkoordinasi.

Menurut dokumen pengadilan, operasi tersebut mengakses infrastruktur QakBot, yang memungkinkannya mengalihkan lalu lintas botnet melalui server yang dikendalikan FBI, dengan tujuan akhir menonaktifkan rantai pasokan para penjahat. Server tersebut memerintahkan komputer yang disusupi untuk mengunduh program uninstaller, yang dirancang untuk menghapus komputer dari botnet QakBot, sehingga secara efektif mencegah penyebaran komponen malware tambahan.

QakBot telah menunjukkan peningkatan kecanggihan seiring waktu, dengan cepat mengubah taktik untuk mengakomodasi langkah-langkah keamanan baru. Setelah Microsoft menonaktifkan makro secara default di semua aplikasi Office, malware tersebut mulai menggunakan berkas OneNote sebagai vektor infeksi awal tahun ini.

Kecanggihan dan kemampuan adaptasinya juga terletak pada penggunaan berbagai format berkas seperti PDF, HTML, dan ZIP dalam rantai serangan QakBot. Mayoritas server komando dan kendali malware ini berlokasi di AS, Inggris, India, Kanada, dan Prancis, sementara infrastruktur backend-nya diyakini berada di Rusia.

QakBot, seperti Emotet dan IcedID, menggunakan sistem server tiga tingkat untuk mengontrol dan berkomunikasi dengan malware yang terpasang di komputer yang terinfeksi. Tujuan utama server primer dan sekunder adalah untuk menyampaikan komunikasi terenkripsi antara komputer yang terinfeksi dan server tingkat ketiga yang mengendalikan botnet.

Hingga pertengahan Juni 2023, 853 server tingkat 1 telah diidentifikasi di 63 negara, dengan server tingkat 2 bertindak sebagai proksi untuk menutupi server kontrol utama. Data yang dikumpulkan oleh Abuse.ch menunjukkan bahwa semua server QakBot kini offline.

Menurut HP Wolf Security, QakBot juga merupakan salah satu keluarga malware paling aktif di Q2 2023 dengan 18 rantai serangan dan 56 kampanye. Hal ini menunjukkan tren kelompok kriminal yang mencoba dengan cepat mengeksploitasi kerentanan dalam pertahanan jaringan untuk mendapatkan keuntungan ilegal.