SUA demantează botnet-ul QakBot care afecta 700.000 de computere

Conform The Hacker News , QakBot este o tulpină de malware bine-cunoscută pentru Windows, despre care se estimează că a compromis peste 700.000 de computere la nivel global și facilitează frauda financiară, precum și atacurile ransomware.

Departamentul de Justiție al SUA (DoJ) a declarat că malware-ul este eliminat de pe computerele victimelor, împiedicându-l să provoace alte daune, iar autoritățile au confiscat peste 8,6 milioane de dolari în criptomonede ilicite.

Operațiunea transfrontalieră, care a implicat Franța, Germania, Letonia, România, Olanda, Regatul Unit și SUA, cu sprijin tehnic din partea firmei de securitate cibernetică Zscaler, a fost cea mai mare perturbare financiară și tehnică a infrastructurii botnet utilizate de infractorii cibernetici, condusă de SUA, deși nu au fost anunțate arestări.

QakBot, cunoscut și sub numele de QBot și Pinkslipbot, a început să funcționeze ca un troian bancar în 2007, înainte de a trece la a servi ca centru de distribuție pentru malware pe mașinile infectate, inclusiv ransomware. Printre ransomware-urile de la QakBot se numără Conti, ProLock, Egregor, REvil, MegaCortex și Black Basta. Se crede că operatorii QakBot au primit aproximativ 58 de milioane de dolari în plăți de răscumpărare de la victime între octombrie 2021 și aprilie 2023.

Adesea distribuit prin e-mailuri de phishing, acest malware modular este echipat cu capacități de executare a comenzilor și de colectare a informațiilor. QakBot a fost actualizat continuu de-a lungul existenței sale. Departamentul de Justiție a declarat că computerele infectate cu malware-ul făceau parte dintr-o rețea de bot-uri, ceea ce înseamnă că autorii puteau controla de la distanță toate computerele infectate într-un mod coordonat.

Conform documentelor instanței, operațiunea a accesat infrastructura QakBot, ceea ce i-a permis să redirecționeze traficul botnet-ului prin servere controlate de FBI, dezactivând în cele din urmă lanțul de aprovizionare al infractorilor. Serverele au instruit computerele compromise să descarce un program de dezinstalare conceput pentru a elimina mașinile din botnet-ul QakBot, împiedicând eficient distribuirea unor componente malware suplimentare.

QakBot a demonstrat o sofisticare sporită în timp, schimbând rapid tacticile pentru a se adapta noilor măsuri de securitate. După ce Microsoft a dezactivat macrocomenzile în mod implicit în toate aplicațiile Office, malware-ul a început să utilizeze fișierele OneNote ca vector de infecție la începutul acestui an.

Sofisticarea și adaptabilitatea rezidă și în utilizarea ca armă a mai multor formate de fișiere, cum ar fi PDF, HTML și ZIP, în lanțul de atac al QakBot. Majoritatea serverelor de comandă și control ale malware-ului sunt situate în SUA, Marea Britanie, India, Canada și Franța, în timp ce infrastructura back-end se crede că se află în Rusia.

QakBot, la fel ca Emotet și IcedID, folosește un sistem de servere pe trei niveluri pentru a controla și a comunica cu programele malware instalate pe computerele infectate. Scopul principal al serverelor primare și secundare este de a transmite comunicațiile criptate între computerele infectate și serverul de nivel trei care controlează botnet-ul.

La mijlocul lunii iunie 2023, au fost identificate 853 de servere de nivel 1 în 63 de țări, serverele de nivel 2 acționând ca proxy-uri pentru a masca serverul principal de control. Datele colectate de Abuse.ch arată că toate serverele QakBot sunt acum offline.

Conform HP Wolf Security, QakBot a fost, de asemenea, una dintre cele mai active familii de malware în trimestrul 2 al anului 2023, cu 18 lanțuri de atacuri și 56 de campanii. Acest lucru arată tendința grupurilor criminale care încearcă să exploateze rapid vulnerabilitățile din apărarea rețelelor pentru profituri ilegale.