Il 29 agosto 2023, l’FBI statunitense ha annunciato di aver smantellato l’operazione multinazionale di cyber hacking e ransomware Qakbot, o Qbot. Dopo Hive, Emotet o Zloader, anche QakBot è stato colpito. Ma la botnet è stata distrutta e il ransomware inutilizzabile o semplicemente paralizzato, come nel caso di Emotet?
Il malware Qakbot ha infettato le vittime tramite e-mail di spam contenenti allegati e collegamenti fraudolenti. Serviva anche come piattaforma per gli operatori di ransomware. Una volta violato, il computer della vittima è diventato parte della più ampia rete di bot Qakbot, che ha preso il controllo di altri computer. Sono stati colpiti 700 computer in tutto il mondo, compresi istituti finanziari, appaltatori governativi e produttori di dispositivi medici.
Cos'è Qakbot?
Qakbot era gestito da hacker dell'Europa orientale ed è attivo dal 2008. È il malware scoperto più frequentemente, colpendo l’2023% delle reti aziendali in tutto il mondo nella prima metà del 11. Qakbot è particolarmente complicato: si tratta di un malware multiuso che assomiglia a un coltellino svizzero. Consente ai criminali informatici di rubare direttamente dati (compreso l'accesso a conti finanziari, carte di pagamento) o computer, fungendo anche da piattaforma per infettare le reti delle vittime con malware e ransomware aggiuntivi. Distribuito principalmente tramite e-mail di phishing, Qakbot è altamente adattabile e flessibile e consente al malware di aggirare le misure di sicurezza. Utilizza tipi di file noti come OneNote, PDF, HTML, ZIP o LNK per ingannare gli utenti. Afferma Sergey Shykevich, Threat Intelligence Manager presso Check Point Research.
Questo è ciò che dice Mandiant, filiale di Google, di Qakbot
L´ FBI ha collaborato con partner in tutto il mondo per neutralizzare l'infrastruttura malware Qakbot. L'infrastruttura è stata utilizzata dai criminali informatici per diffondere ransomware. Il ransomware viene ancora spesso utilizzato dai criminali informatici per perseguire obiettivi economici. Secondo il rapporto di ricerca M-Trends 2023, il 2022% delle indagini Mandiant nel 18 riguardava ransomware.
Sandra Joyce, vicepresidente, Mandiant Intelligence presso Google Cloud spiega: “Il ransomware è una grande sfida alla sicurezza nazionale che dobbiamo prendere con la stessa serietà delle minacce provenienti da stati nazionali come la Russia o la Corea del Nord. I fondamenti del modello di business sono solidi e questo problema non sarà risolto presto. Molti degli strumenti che abbiamo a nostra disposizione non avranno un impatto duraturo. Questi gruppi si riprenderanno e torneranno. Ma abbiamo l’obbligo morale di sospendere queste operazioni quando possibile”.
Commento Qakbot di Arctic Wolf
La caccia alle anatre ha avuto successo: i media riferiscono che l'FBI è riuscita a smantellare la botnet controllata tramite il malware Qakbot nell'ambito di un'operazione di polizia internazionale denominata "Duck Hunt" con forze provenienti da Germania, Paesi Bassi, Romania, Lettonia e divenne il Regno Unito.
“Il fatto che la “caccia alle anatre” su Qakbot abbia avuto successo è positivo per due ragioni: da un lato vediamo che le forze dell’ordine internazionali collaborano sempre meglio e dall’altro è un ulteriore segnale che il crimine informatico organizzato è alle calcagna e non possono fare i loro danni indisturbati.
Tuttavia, questo importante passo avanti non dovrebbe essere sopravvalutato. Sebbene la botnet sia stata per il momento distrutta, i codici sorgente del malware esistono ancora, proprio come i loro sviluppatori. C'è da aspettarsi che si riorganizzeranno e riprenderanno il loro "lavoro" entro poche settimane o mesi.
Le aziende possono verificare se le loro credenziali sono state rubate dagli autori di Qakbot. Funziona fornendo il tuo indirizzo email Sono stato pegno? o sul sito web della polizia olandese." Quindi Dott. Sebastian Schmerl, Direttore dei servizi di sicurezza EMEA Lupo artico.