Os EUA desmantelam a botnet QakBot que afetou 700 mil computadores.

Segundo o The Hacker News , o QakBot é uma variante de malware para Windows bastante conhecida, que estima-se ter comprometido mais de 700.000 computadores em todo o mundo e que facilita fraudes financeiras e ataques de ransomware.

O Departamento de Justiça dos EUA (DoJ) afirmou que o malware está sendo removido dos computadores das vítimas, impedindo que cause mais danos, e que as autoridades apreenderam mais de US$ 8,6 milhões em criptomoedas ilícitas.

A operação transfronteiriça, que envolveu França, Alemanha, Letônia, Romênia, Holanda, Reino Unido e Estados Unidos, com apoio técnico da empresa de cibersegurança Zscaler, foi a maior desarticulação financeira e técnica liderada pelos EUA contra a infraestrutura de botnets usada por cibercriminosos, embora nenhuma prisão tenha sido anunciada.

O QakBot, também conhecido como QBot e Pinkslipbot, começou a operar como um trojan bancário em 2007, antes de se tornar um centro de distribuição de malware em máquinas infectadas, incluindo ransomware. Alguns dos ransomwares do QakBot incluem Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta. Acredita-se que os operadores do QakBot tenham recebido aproximadamente US$ 58 milhões em pagamentos de resgate de vítimas entre outubro de 2021 e abril de 2023.

Frequentemente distribuído por meio de e-mails de phishing, o malware modular é equipado com recursos de execução de comandos e coleta de informações. O QakBot foi continuamente atualizado ao longo de sua existência. O Departamento de Justiça dos EUA afirmou que os computadores infectados com o malware faziam parte de uma botnet, o que significa que os criminosos podiam controlar remotamente todos os computadores infectados de forma coordenada.

De acordo com documentos judiciais, a operação acessou a infraestrutura do QakBot, o que permitiu redirecionar o tráfego da botnet por meio de servidores controlados pelo FBI, desativando, em última instância, a cadeia de suprimentos dos criminosos. Os servidores instruíram os computadores comprometidos a baixar um desinstalador projetado para remover máquinas da botnet QakBot, impedindo, assim, a distribuição de componentes adicionais de malware.

O QakBot demonstrou crescente sofisticação ao longo do tempo, mudando rapidamente suas táticas para se adaptar às novas medidas de segurança. Depois que a Microsoft desativou as macros por padrão em todos os aplicativos do Office, o malware começou a usar arquivos do OneNote como vetor de infecção no início deste ano.

A sofisticação e a adaptabilidade também residem na utilização de múltiplos formatos de arquivo, como PDF, HTML e ZIP, na cadeia de ataque do QakBot. A maioria dos servidores de comando e controle do malware está localizada nos EUA, Reino Unido, Índia, Canadá e França, enquanto acredita-se que a infraestrutura de back-end esteja localizada na Rússia.

O QakBot, assim como o Emotet e o IcedID, utiliza um sistema de servidores de três camadas para controlar e se comunicar com o malware instalado nos computadores infectados. A principal função dos servidores primário e secundário é retransmitir as comunicações criptografadas entre os computadores infectados e o servidor de terceira camada que controla a botnet.

Em meados de junho de 2023, 853 servidores de nível 1 foram identificados em 63 países, com servidores de nível 2 atuando como proxies para mascarar o servidor de controle principal. Dados coletados pelo Abuse.ch mostram que todos os servidores do QakBot estão agora offline.

Segundo a HP Wolf Security, o QakBot também foi uma das famílias de malware mais ativas no segundo trimestre de 2023, com 18 cadeias de ataque e 56 campanhas. Isso demonstra a tendência de grupos criminosos que tentam explorar rapidamente vulnerabilidades nas defesas de rede para obter lucros ilícitos.