США ліквідували ботнет QakBot, який вразив 700 000 комп'ютерів

Згідно з The Hacker News , QakBot — це відомий штам шкідливого програмного забезпечення для Windows, який, за оцінками, скомпрометував понад 700 000 комп’ютерів у всьому світі та сприяє фінансовому шахрайству, а також поширенню програм-вимагачів.

Міністерство юстиції США (DoJ) заявило, що шкідливе програмне забезпечення видаляється з комп'ютерів жертв, що запобігає його подальшій шкоді, а влада вилучила незаконну криптовалюту на суму понад 8,6 мільйона доларів.

Транскордонна операція, в якій брали участь Франція, Німеччина, Латвія, Румунія, Нідерланди, Велика Британія та США за технічної підтримки компанії з кібербезпеки Zscaler, стала найбільшим фінансовим та технічним зривом інфраструктури ботнетів, що використовується кіберзлочинцями, під керівництвом США, хоча про арешти не повідомлялося.

QakBot, також відомий як QBot та Pinkslipbot, почав функціонувати як банківський троян у 2007 році, перш ніж перейшов до ролі центру розповсюдження шкідливого програмного забезпечення на заражених машинах, включаючи програми-вимагачі. Серед програм-вимагачів QakBot є Conti, ProLock, Egregor, REvil, MegaCortex та Black Basta. Вважається, що оператори QakBot отримали приблизно 58 мільйонів доларів викупу від жертв у період з жовтня 2021 року по квітень 2023 року.

Це модульне шкідливе програмне забезпечення, яке часто поширюється через фішингові електронні листи, оснащене можливостями виконання команд та збору інформації. QakBot постійно оновлювався протягом усього свого існування. Міністерство юстиції заявило, що комп’ютери, заражені шкідливим програмним забезпеченням, були частиною ботнету, а це означає, що зловмисники могли дистанційно керувати всіма зараженими комп’ютерами скоординовано.

Згідно з судовими документами, операція отримала доступ до інфраструктури ботнету QakBot, що дозволило їй перенаправляти трафік ботнету через сервери, контрольовані ФБР, що зрештою вивело з ладу ланцюг поставок злочинців. Сервери наказували скомпрометованим комп'ютерам завантажити деінсталятор, призначений для видалення машин з ботнету QakBot, що ефективно запобігало поширенню додаткових компонентів шкідливого програмного забезпечення.

З часом QakBot демонстрував підвищену витонченість, швидко змінюючи тактику, щоб враховувати нові заходи безпеки. Після того, як Microsoft за замовчуванням вимкнула макроси у всіх програмах Office, шкідливе програмне забезпечення почало використовувати файли OneNote як вектор зараження на початку цього року.

Витонченість та адаптивність також полягають у використанні в ланцюжку атак QakBot кількох форматів файлів, таких як PDF, HTML та ZIP. Більшість командних серверів та серверів управління шкідливого програмного забезпечення розташовані в США, Великій Британії, Індії, Канаді та Франції, тоді як, як вважається, серверна інфраструктура знаходиться в Росії.

QakBot, як і Emotet та IcedID, використовує трирівневу серверну систему для контролю та зв'язку зі шкідливим програмним забезпеченням, встановленим на заражених комп'ютерах. Основне призначення первинного та вторинного серверів полягає в передачі зашифрованого зв'язку між зараженими комп'ютерами та сервером третього рівня, який контролює ботнет.

Станом на середину червня 2023 року було виявлено 853 сервери першого рівня у 63 країнах, а сервери другого рівня діяли як проксі-сервери для маскування основного сервера керування. Дані, зібрані Abuse.ch, показують, що всі сервери QakBot зараз не працюють.

За даними HP Wolf Security, QakBot також був одним із найактивніших сімейств шкідливих програм у другому кварталі 2023 року з 18 ланцюжками атак та 56 кампаніями. Це свідчить про тенденцію злочинних груп, які намагаються швидко використовувати вразливості в захисті мережі для отримання незаконного прибутку.