Os EUA desmantelaram a botnet QakBot, que afetou 700.000 computadores.

O QakBot, também conhecido como QBot e Pinkslipbot, começou a operar como um trojan bancário em 2007, antes de se transformar em um centro de distribuição de malware em máquinas infectadas, incluindo ransomware. Algumas variantes de ransomware do QakBot incluem Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta. Acredita-se que os responsáveis ​​pelo QakBot tenham arrecadado aproximadamente US$ 58 milhões em pagamentos de resgate de vítimas entre outubro de 2021 e abril de 2023.

Frequentemente distribuído por meio de e-mails de phishing, este malware modular é capaz de executar comandos e coletar informações. O QakBot tem sido continuamente atualizado ao longo de sua existência. O Departamento de Justiça dos EUA afirmou que os computadores infectados com este malware fazem parte de uma botnet, o que significa que os criminosos podem controlar remotamente todos os computadores infectados de forma coordenada.

De acordo com documentos judiciais, a operação acessou a infraestrutura do QakBot, a partir da qual podia redirecionar o tráfego da botnet através de servidores controlados pelo FBI, com o objetivo final de desativar a cadeia de suprimentos criminosa. Esses servidores instruíam os computadores comprometidos a baixar um desinstalador projetado para removê-los da botnet QakBot, impedindo efetivamente a distribuição de componentes adicionais de malware.

O QakBot tem demonstrado crescente sofisticação ao longo do tempo, alterando rapidamente suas táticas para se adaptar às novas medidas de segurança. Após a Microsoft desativar as macros por padrão em todos os aplicativos do Office, esse malware começou a usar arquivos do OneNote como meio de infecção no início deste ano.

A sofisticação e a adaptabilidade também residem na "instrumentalização" de vários formatos de arquivo, como PDF, HTML e ZIP, na cadeia de ataque do QakBot. A maioria dos servidores de comando e controle desse malware está localizada nos EUA, Reino Unido, Índia, Canadá e França, enquanto acredita-se que a infraestrutura de suporte esteja localizada na Rússia.

O QakBot, assim como o Emotet e o IcedID, utiliza um sistema de servidores de três camadas para controlar e se comunicar com o malware instalado em computadores infectados. O objetivo principal dos servidores da primeira e da segunda camada é encaminhar as comunicações criptografadas entre as máquinas infectadas e o servidor da terceira camada que controla a botnet.

Em meados de junho de 2023, 853 servidores de Nível 1 haviam sido identificados em 63 países, com servidores de Nível 2 atuando como proxies para ocultar o servidor de controle principal. Dados coletados pelo Abuse.ch mostram que todos os servidores do QakBot estão agora offline.

Segundo a HP Wolf Security, o QakBot também foi uma das famílias de malware mais ativas no segundo trimestre de 2023, com 18 cadeias de ataque e 56 campanhas. Isso demonstra uma tendência de grupos criminosos que tentam explorar rapidamente vulnerabilidades em sistemas de cibersegurança para obter ganhos ilícitos.