AS membongkar botnet QakBot yang menjejaskan 700,000 komputer

Menurut The Hacker News , QakBot ialah jenis perisian hasad Windows yang terkenal yang dianggarkan telah menjejaskan lebih daripada 700,000 komputer di seluruh dunia dan memudahkan penipuan kewangan serta perisian tebusan.

Jabatan Kehakiman (DoJ) AS berkata perisian hasad sedang dialih keluar daripada komputer mangsa, menghalangnya daripada menyebabkan sebarang bahaya lagi, dan pihak berkuasa telah merampas lebih $8.6 juta mata wang kripto haram.

Operasi rentas sempadan, yang melibatkan Perancis, Jerman, Latvia, Romania, Belanda, UK dan AS, dengan sokongan teknikal daripada firma keselamatan siber Zscaler, merupakan gangguan kewangan dan teknikal terbesar yang diketuai AS terhadap infrastruktur botnet yang digunakan oleh penjenayah siber, walaupun tiada tangkapan diumumkan.

QakBot, juga dikenali sebagai QBot dan Pinkslipbot, mula beroperasi sebagai trojan perbankan pada 2007 sebelum beralih kepada berfungsi sebagai pusat pengedaran perisian hasad pada mesin yang dijangkiti, termasuk perisian tebusan. Beberapa perisian tebusan daripada QakBot termasuk Conti, ProLock, Egregor, REvil, MegaCortex dan Black Basta. Pengendali QakBot dipercayai telah menerima kira-kira $58 juta bayaran tebusan daripada mangsa antara Oktober 2021 dan April 2023.

Selalunya diedarkan melalui e-mel pancingan data, perisian hasad modular dilengkapi dengan keupayaan pelaksanaan perintah dan pengumpulan maklumat. QakBot telah dikemas kini secara berterusan sepanjang kewujudannya. DoJ berkata komputer yang dijangkiti perisian hasad adalah sebahagian daripada botnet, bermakna pelaku boleh mengawal dari jauh semua komputer yang dijangkiti dengan cara yang diselaraskan.

Menurut dokumen mahkamah, operasi itu mengakses infrastruktur QakBot, yang membenarkannya mengubah hala trafik botnet melalui pelayan dikawal FBI, akhirnya melumpuhkan rantaian bekalan penjenayah. Pelayan mengarahkan komputer yang terjejas untuk memuat turun penyahpasang yang direka untuk mengalih keluar mesin daripada botnet QakBot, dengan berkesan menghalang pengedaran komponen perisian hasad tambahan.

QakBot telah menunjukkan peningkatan kecanggihan dari semasa ke semasa, menukar taktik dengan cepat untuk menampung langkah keselamatan baharu. Selepas Microsoft melumpuhkan makro secara lalai dalam semua aplikasi Office, perisian hasad mula menggunakan fail OneNote sebagai vektor jangkitan awal tahun ini.

Kecanggihan dan kebolehsuaian juga terletak pada penggunaan senjata berbilang format fail seperti PDF, HTML dan ZIP dalam rantaian serangan QakBot. Majoriti pelayan arahan dan kawalan perisian hasad terletak di AS, UK, India, Kanada dan Perancis, manakala infrastruktur bahagian belakang dipercayai terletak di Rusia.

QakBot, seperti Emotet dan IcedID, menggunakan sistem pelayan tiga peringkat untuk mengawal dan berkomunikasi dengan perisian hasad yang dipasang pada komputer yang dijangkiti. Tujuan utama pelayan primer dan sekunder adalah untuk menyampaikan komunikasi yang disulitkan antara komputer yang dijangkiti dan pelayan peringkat ketiga yang mengawal botnet.

Sehingga pertengahan Jun 2023, 853 pelayan peringkat-1 telah dikenal pasti di 63 negara, dengan pelayan peringkat-2 bertindak sebagai proksi untuk menutup pelayan kawalan utama. Data yang dikumpul oleh Abuse.ch menunjukkan bahawa semua pelayan QakBot kini berada di luar talian.

Menurut HP Wolf Security, QakBot juga merupakan salah satu keluarga perisian hasad paling aktif pada Q2 2023 dengan 18 rantaian serangan dan 56 kempen. Ini menunjukkan trend kumpulan penjenayah yang cuba mengeksploitasi kelemahan dalam pertahanan rangkaian dengan cepat untuk keuntungan haram.