Według serwisu The Hacker News QakBot to niesławna rodzina złośliwego oprogramowania dla systemu Windows, która według szacunków zainfekowała ponad 700 000 komputerów na całym świecie, umożliwiając oszustwa finansowe i ataki ransomware.
Departament Sprawiedliwości USA (DoJ) poinformował, że złośliwe oprogramowanie jest usuwane z komputerów ofiar, co zapobiegnie dalszym szkodom. Władze skonfiskowały nielegalną kryptowalutę o wartości ponad 8,6 mln dolarów.
W operacji transgranicznej uczestniczyły Francja, Niemcy, Łotwa, Rumunia, Holandia, Wielka Brytania i Stany Zjednoczone, a wsparcie techniczne zapewniła firma zajmująca się cyberbezpieczeństwem Zscaler. Była to największa akcja prowadzona przez USA, której celem było finansowe i techniczne zakłócenie infrastruktury botnetów wykorzystywanej przez cyberprzestępców, choć nie ogłoszono żadnych aresztowań.
Model kontroli botnetu QakBot
QakBot, znany również jako QBot i Pinkslipbot, rozpoczął działalność jako trojan bankowy w 2007 roku, a następnie przekształcił się w centrum dystrybucji złośliwego oprogramowania na zainfekowanych komputerach, w tym ransomware. Niektóre warianty ransomware QakBota to Conti, ProLock, Egregor, REvil, MegaCortex i Black Basta. Uważa się, że osoby kontrolujące QakBota zebrały od ofiar około 58 milionów dolarów okupu w okresie od października 2021 do kwietnia 2023 roku.
Często rozprzestrzeniany za pośrednictwem wiadomości phishingowych, ten modułowy malware jest wyposażony w możliwość wykonywania poleceń i gromadzenia informacji. QakBot był stale aktualizowany przez cały okres swojego istnienia. Departament Sprawiedliwości stwierdził, że komputery zainfekowane tym malwarem są częścią botnetu, co oznacza, że sprawcy mogą zdalnie kontrolować wszystkie zainfekowane komputery w skoordynowany sposób.
Według dokumentów sądowych, operacja uzyskała dostęp do infrastruktury QakBot, z której mogła przekierowywać ruch botnetu przez serwery kontrolowane przez FBI, a jej ostatecznym celem było wyłączenie przestępczego łańcucha dostaw. Serwery te instruowały zainfekowane komputery, aby pobrały program dezinstalacyjny, który miał je usunąć z botnetu QakBot, skutecznie uniemożliwiając dystrybucję dodatkowych komponentów złośliwego oprogramowania.
Z biegiem czasu QakBot wykazywał coraz większą wyrafinowanie, szybko zmieniając taktykę, aby dostosować się do nowych środków bezpieczeństwa. Po tym, jak Microsoft domyślnie wyłączył makra we wszystkich aplikacjach pakietu Office, ten złośliwy program zaczął wykorzystywać pliki programu OneNote jako medium infekcji na początku tego roku.
Wyrafinowanie i zdolność adaptacji wynikają również z „uzbrojenia” w różne formaty plików, takie jak PDF, HTML i ZIP, w łańcuchu ataków QakBot. Większość serwerów dowodzenia i kontroli tego złośliwego oprogramowania znajduje się w Stanach Zjednoczonych, Wielkiej Brytanii, Indiach, Kanadzie i Francji, a infrastruktura pomocnicza prawdopodobnie znajduje się w Rosji.
QakBot, podobnie jak Emotet i IcedID, wykorzystuje trójwarstwowy system serwerów do kontrolowania i komunikacji ze złośliwym oprogramowaniem zainstalowanym na zainfekowanych komputerach. Głównym celem serwerów pierwszego i drugiego poziomu jest przekazywanie zaszyfrowanej komunikacji między zainfekowanymi maszynami a serwerem trzeciego poziomu kontrolującym botnet.
Do połowy czerwca 2023 roku zidentyfikowano 853 serwery Tier 1 w 63 krajach, przy czym serwery Tier 2 działały jako proxy, ukrywając główny serwer kontrolny. Dane zebrane przez Abuse.ch pokazują, że wszystkie serwery QakBot są obecnie offline.
Według HP Wolf Security, QakBot był również jedną z najaktywniejszych rodzin złośliwego oprogramowania w drugim kwartale 2023 roku, z 18 łańcuchami ataków i 56 kampaniami. Pokazuje to tendencję grup przestępczych do szybkiego wykorzystywania luk w systemach cyberbezpieczeństwa w celu osiągnięcia nielegalnych korzyści.
Link źródłowy
![[Zdjęcie] Sekretarz Komitetu Partii Zgromadzenia Narodowego, przewodniczący Zgromadzenia Narodowego przewodniczy posiedzeniu Stałego Komitetu i Komitetu Wykonawczego Komitetu Partii Zgromadzenia Narodowego.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780480353201_ndo_br_bnd-2585-jpg.webp)
![[Zdjęcie] Pierwsze posiedzenie XIV Kongresu Związku Zawodowego Wietnamu](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780465947883_ndo_br_img-3852-jpg.webp)
![[Zdjęcie] Sekretarz generalny i prezes To Lam przewodniczy spotkaniu z Centralnym Komitetem Organizacyjnym.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/06/03/1780482764658_a1-bnd-4741-3342-jpg.webp)
![[Wideo] Zachód słońca w lagunie Lap An – gdzie słońce zachodzi nad sieciami rybackimi](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/31/1780192137701_beach-landscape-sea-water-nature-grass-745871-pxhere-com.jpeg)
Komentarz (0)