USA rozmontowały botnet QakBot, który zainfekował 700 000 komputerów

Według serwisu The Hacker News QakBot to znana odmiana złośliwego oprogramowania dla systemu Windows, która, jak się szacuje, zainfekowała ponad 700 000 komputerów na całym świecie i umożliwia dokonywanie oszustw finansowych oraz ataków ransomware.

Departament Sprawiedliwości USA (DoJ) poinformował, że złośliwe oprogramowanie jest usuwane z komputerów ofiar, co zapobiegnie dalszym szkodom. Władze skonfiskowały nielegalną kryptowalutę o wartości ponad 8,6 mln dolarów.

Transgraniczna operacja, w którą zaangażowane były Francja, Niemcy, Łotwa, Rumunia, Holandia, Wielka Brytania i Stany Zjednoczone, a wsparcie techniczne zapewniła firma zajmująca się cyberbezpieczeństwem Zscaler, była największą przeprowadzoną przez USA operacją finansową i techniczną mającą na celu zakłócenie infrastruktury botnetu wykorzystywanej przez cyberprzestępców. Nie ogłoszono jednak żadnych aresztowań.

QakBot, znany również jako QBot i Pinkslipbot, rozpoczął działalność jako trojan bankowy w 2007 roku, a następnie przekształcił się w centrum dystrybucji złośliwego oprogramowania na zainfekowanych komputerach, w tym ransomware. Wśród ransomware'ów QakBota znajdują się Conti, ProLock, Egregor, REvil, MegaCortex i Black Basta. Uważa się, że operatorzy QakBota otrzymali od ofiar około 58 milionów dolarów okupu w okresie od października 2021 do kwietnia 2023 roku.

Często rozpowszechniany za pośrednictwem wiadomości phishingowych, modułowy malware jest wyposażony w funkcje wykonywania poleceń i gromadzenia informacji. QakBot był stale aktualizowany przez cały okres swojego istnienia. Departament Sprawiedliwości stwierdził, że komputery zainfekowane złośliwym oprogramowaniem były częścią botnetu, co oznacza, że ​​sprawcy mogli zdalnie kontrolować wszystkie zainfekowane komputery w skoordynowany sposób.

Według dokumentów sądowych, operacja uzyskała dostęp do infrastruktury QakBota, co umożliwiło mu przekierowywanie ruchu botnetu przez serwery kontrolowane przez FBI, ostatecznie blokując łańcuch dostaw przestępców. Serwery instruowały zainfekowane komputery, aby pobrały program dezinstalacyjny, który miał usuwać maszyny z botnetu QakBota, skutecznie uniemożliwiając dystrybucję dodatkowych komponentów złośliwego oprogramowania.

Z czasem QakBot wykazywał coraz większą wyrafinowanie, szybko zmieniając taktykę w celu dostosowania się do nowych środków bezpieczeństwa. Po tym, jak Microsoft domyślnie wyłączył makra we wszystkich aplikacjach pakietu Office, złośliwe oprogramowanie zaczęło wykorzystywać pliki programu OneNote jako wektor infekcji na początku tego roku.

Wyrafinowanie i zdolność adaptacji wynikają również z wykorzystywania w łańcuchu ataków QakBota wielu formatów plików, takich jak PDF, HTML i ZIP. Większość serwerów dowodzenia i kontroli złośliwego oprogramowania znajduje się w Stanach Zjednoczonych, Wielkiej Brytanii, Indiach, Kanadzie i Francji, a infrastruktura zaplecza prawdopodobnie znajduje się w Rosji.

QakBot, podobnie jak Emotet i IcedID, wykorzystuje trójwarstwowy system serwerów do kontrolowania i komunikacji ze złośliwym oprogramowaniem zainstalowanym na zainfekowanych komputerach. Głównym celem serwerów głównego i pomocniczego jest przekazywanie zaszyfrowanej komunikacji między zainfekowanymi komputerami a serwerem trzeciego poziomu kontrolującym botnet.

Do połowy czerwca 2023 roku zidentyfikowano 853 serwery poziomu 1 w 63 krajach, przy czym serwery poziomu 2 pełnią funkcję serwerów proxy, maskując główny serwer kontrolny. Dane zebrane przez Abuse.ch pokazują, że wszystkie serwery QakBot są obecnie offline.

Według HP Wolf Security, QakBot był również jedną z najaktywniejszych rodzin złośliwego oprogramowania w drugim kwartale 2023 roku, z 18 łańcuchami ataków i 56 kampaniami. Pokazuje to tendencję grup przestępczych do szybkiego wykorzystywania luk w zabezpieczeniach sieci w celu osiągnięcia nielegalnych zysków.