USA demonterer QakBot-botnettet som rammet 700 000 datamaskiner

Ifølge The Hacker News er QakBot en velkjent Windows-skadevarestamme som anslås å ha kompromittert mer enn 700 000 datamaskiner globalt og legger til rette for økonomisk svindel samt løsepengevirus.

Det amerikanske justisdepartementet (DoJ) sa at skadevaren blir fjernet fra ofrenes datamaskiner, for å forhindre at den forårsaker ytterligere skade, og myndighetene har beslaglagt ulovlig kryptovaluta til en verdi av mer enn 8,6 millioner dollar.

Den grenseoverskridende operasjonen, som involverte Frankrike, Tyskland, Latvia, Romania, Nederland, Storbritannia og USA, med teknisk støtte fra cybersikkerhetsfirmaet Zscaler, var den største USA-ledede økonomiske og tekniske forstyrrelsen av botnettinfrastruktur brukt av nettkriminelle, selv om ingen arrestasjoner ble annonsert.

QakBot, også kjent som QBot og Pinkslipbot, begynte å operere som en banktrojaner i 2007 før den gikk over til å fungere som et distribusjonssenter for skadelig programvare på infiserte maskiner, inkludert ransomware. Noe av ransomware-viruset fra QakBot inkluderer Conti, ProLock, Egregor, REvil, MegaCortex og Black Basta. QakBots operatører antas å ha mottatt omtrent 58 millioner dollar i løsepenger fra ofrene mellom oktober 2021 og april 2023.

Den modulære skadevaren, som ofte distribueres via phishing-e-poster, er utstyrt med funksjoner for kommandokjøring og informasjonsinnsamling. QakBot har blitt kontinuerlig oppdatert gjennom hele sin eksistens. Justisdepartementet sa at datamaskinene som var infisert med skadevaren var en del av et botnett, noe som betyr at gjerningsmennene kunne fjernstyre alle de infiserte datamaskinene på en koordinert måte.

Ifølge rettsdokumenter fikk operasjonen tilgang til QakBot-infrastrukturen, noe som gjorde det mulig å omdirigere botnet-trafikk gjennom FBI-kontrollerte servere, noe som til slutt deaktiverte de kriminelles forsyningskjede. Serverne instruerte kompromitterte datamaskiner om å laste ned et avinstalleringsprogram som var utformet for å fjerne maskiner fra QakBot-botnettet, og dermed effektivt forhindre distribusjon av ytterligere skadevarekomponenter.

QakBot har vist seg å være stadig mer sofistikert, og har raskt endret taktikker for å imøtekomme nye sikkerhetstiltak. Etter at Microsoft deaktiverte makroer som standard i alle Office-programmer, begynte skadevaren å bruke OneNote-filer som en infeksjonsvektor tidligere i år.

Sofistikasjonen og tilpasningsevnen ligger også i at QakBots angrepskjede bruker flere filformater som PDF, HTML og ZIP som våpen. Majoriteten av den skadelige programvarens kommando- og kontrollservere er lokalisert i USA, Storbritannia, India, Canada og Frankrike, mens backend-infrastrukturen antas å være lokalisert i Russland.

QakBot, i likhet med Emotet og IcedID, bruker et trelags serversystem for å kontrollere og kommunisere med skadelig programvare som er installert på infiserte datamaskiner. Hovedformålet med den primære og sekundære serveren er å videresende kryptert kommunikasjon mellom infiserte datamaskiner og den tredjelags serveren som kontrollerer botnettet.

Per midten av juni 2023 er det identifisert 853 nivå 1-servere i 63 land, hvor nivå 2-servere fungerer som proxyer for å maskere hovedkontrollserveren. Data samlet inn av Abuse.ch viser at alle QakBot-servere nå er frakoblet.

Ifølge HP Wolf Security var QakBot også en av de mest aktive skadevarefamiliene i andre kvartal 2023 med 18 angrepskjeder og 56 kampanjer. Dette viser trenden med kriminelle grupper som raskt prøver å utnytte sårbarheter i nettverksforsvar for ulovlig profitt.