Gli Stati Uniti hanno smantellato la botnet QakBot, che aveva infettato 700.000 computer.

QakBot, noto anche come QBot e Pinkslipbot, ha iniziato a operare come trojan bancario nel 2007, per poi trasformarsi in un centro di distribuzione di malware sui computer infetti, diffondendo anche ransomware. Alcune varianti di ransomware di QakBot includono Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta. Si ritiene che i responsabili di QakBot abbiano raccolto circa 58 milioni di dollari in riscatti dalle vittime tra ottobre 2021 e aprile 2023.

Spesso diffuso tramite email di phishing, questo malware modulare è dotato della capacità di eseguire comandi e raccogliere informazioni. QakBot è stato continuamente aggiornato nel corso della sua esistenza. Il Dipartimento di Giustizia statunitense ha affermato che i computer infetti da questo malware fanno parte di una botnet, il che significa che i responsabili possono controllare da remoto tutti i computer infetti in modo coordinato.

Secondo i documenti del tribunale, l'operazione ha avuto accesso all'infrastruttura di QakBot, da cui poteva reindirizzare il traffico della botnet attraverso server controllati dall'FBI, con l'obiettivo finale di interrompere la catena di approvvigionamento criminale. Questi server ordinavano ai computer compromessi di scaricare un programma di disinstallazione progettato per rimuoverli dalla botnet QakBot, impedendo di fatto la distribuzione di ulteriori componenti malware.

Nel corso del tempo, QakBot ha dimostrato una crescente sofisticazione, modificando rapidamente le proprie tattiche per adattarsi alle nuove misure di sicurezza. Dopo che Microsoft ha disabilitato le macro per impostazione predefinita in tutte le applicazioni di Office, questo malware ha iniziato a utilizzare i file di OneNote come mezzo di infezione all'inizio di quest'anno.

La sofisticatezza e l'adattabilità di QakBot risiedono anche nella "strumentalizzazione" di vari formati di file come PDF, HTML e ZIP nella catena di attacco. La maggior parte dei server di comando e controllo di questo malware si trova negli Stati Uniti, nel Regno Unito, in India, in Canada e in Francia, mentre si ritiene che l'infrastruttura di supporto sia situata in Russia.

QakBot, come Emotet e IcedID, utilizza un sistema di server a tre livelli per controllare e comunicare con il malware installato sui computer infetti. Lo scopo principale dei server di primo e secondo livello è quello di inoltrare le comunicazioni crittografate tra le macchine infette e il server di terzo livello che controlla la botnet.

A metà giugno 2023, erano stati identificati 853 server di Livello 1 in 63 paesi, mentre i server di Livello 2 fungevano da proxy per nascondere il server di controllo principale. I dati raccolti da Abuse.ch mostrano che tutti i server di QakBot sono ora offline.

Secondo HP Wolf Security, QakBot è stata una delle famiglie di malware più attive anche nel secondo trimestre del 2023, con 18 catene di attacco e 56 campagne. Ciò evidenzia una tendenza dei gruppi criminali a sfruttare rapidamente le vulnerabilità dei sistemi di sicurezza informatica per ottenere profitti illeciti.