VS ontmantelt QakBot-botnet dat 700.000 computers trof

Volgens The Hacker News is QakBot een bekende Windows-malware die naar schatting wereldwijd meer dan 700.000 computers heeft geïnfecteerd en zowel financiële fraude als ransomware mogelijk maakt.

Het Amerikaanse ministerie van Justitie (DoJ) meldde dat de malware van de computers van de slachtoffers wordt verwijderd, zodat er geen verdere schade meer kan ontstaan. Ook hebben de autoriteiten meer dan 8,6 miljoen dollar aan illegale cryptovaluta in beslag genomen.

De grensoverschrijdende operatie, waarbij Frankrijk, Duitsland, Letland, Roemenië, Nederland, het Verenigd Koninkrijk en de VS betrokken waren en waarbij het cybersecuritybedrijf Zscaler technische ondersteuning bood, was de grootste door de VS geleide financiële en technische verstoring van botnetinfrastructuur die door cybercriminelen wordt gebruikt. Er zijn echter nog geen arrestaties aangekondigd.

QakBot, ook bekend als QBot en Pinkslipbot, begon in 2007 te functioneren als een banking trojan, waarna het de overstap maakte naar een distributiecentrum voor malware op geïnfecteerde machines, waaronder ransomware. Enkele voorbeelden van ransomware van QakBot zijn Conti, ProLock, Egregor, REvil, MegaCortex en Black Basta. De beheerders van QakBot zouden tussen oktober 2021 en april 2023 ongeveer $ 58 miljoen aan losgeld van slachtoffers hebben ontvangen.

De modulaire malware, die vaak via phishing-e-mails wordt verspreid, is uitgerust met mogelijkheden voor het uitvoeren van opdrachten en het verzamelen van informatie. QakBot is gedurende zijn bestaan ​​continu bijgewerkt. Het Amerikaanse ministerie van Justitie stelde dat de met de malware geïnfecteerde computers deel uitmaakten van een botnet, wat betekent dat de daders alle geïnfecteerde computers op afstand en gecoördineerd konden besturen.

Volgens gerechtelijke documenten maakte de operatie gebruik van de QakBot-infrastructuur, waardoor botnetverkeer kon worden omgeleid via door de FBI gecontroleerde servers, wat uiteindelijk de toeleveringsketen van de criminelen onbruikbaar maakte. De servers instrueerden gecompromitteerde computers om een ​​uninstaller te downloaden die was ontworpen om machines uit het QakBot-botnet te verwijderen, waardoor de verspreiding van extra malwarecomponenten effectief werd voorkomen.

QakBot heeft in de loop der tijd steeds geavanceerder geworden en snel tactieken aangepast aan nieuwe beveiligingsmaatregelen. Nadat Microsoft macro's standaard in alle Office-applicaties had uitgeschakeld, begon de malware eerder dit jaar OneNote-bestanden als infectievector te gebruiken.

De verfijning en aanpasbaarheid schuilen ook in de bewapening van meerdere bestandsformaten, zoals PDF, HTML en ZIP, in de aanvalsketen van QakBot. De meeste command-and-control-servers van de malware bevinden zich in de VS, het VK, India, Canada en Frankrijk, terwijl de back-endinfrastructuur zich vermoedelijk in Rusland bevindt.

QakBot gebruikt, net als Emotet en IcedID, een drielaags serversysteem om de malware op geïnfecteerde computers te beheren en ermee te communiceren. Het primaire en secundaire serversysteem is primair bedoeld om versleutelde communicatie door te geven tussen geïnfecteerde computers en de derdelaags server die het botnet beheert.

Medio juni 2023 waren er 853 tier 1-servers geïdentificeerd in 63 landen, waarbij tier 2-servers als proxy's fungeerden om de hoofdserver te maskeren. Gegevens verzameld door Abuse.ch tonen aan dat alle QakBot-servers nu offline zijn.

Volgens HP Wolf Security was QakBot ook een van de meest actieve malwarefamilies in het tweede kwartaal van 2023, met 18 aanvalsketens en 56 campagnes. Dit toont de trend aan van criminele groepen die snel kwetsbaarheden in netwerkbeveiliging proberen te misbruiken voor illegaal gewin.