Em 29 de agosto de 2023, o FBI dos EUA anunciou que havia desmantelado a operação multinacional de hackers cibernéticos e ransomware Qakbot, ou Qbot. Depois do Hive, Emotet ou Zloader, o QakBot foi atingido. Mas será que o botnet está destruído e o ransomware está inutilizável ou apenas paralisado, como foi o caso do Emotet?
O malware Qakbot infectou as vítimas por meio de e-mails de spam contendo anexos e links fraudulentos. Também serviu como plataforma para operadores de ransomware. Depois que o computador da vítima foi hackeado, ele se tornou parte da rede maior de bots Qakbot, que sequestrou outros computadores. 700 computadores foram afetados em todo o mundo, incluindo instituições financeiras, fornecedores governamentais e fabricantes de dispositivos médicos.
O que é Qakbot?
O Qakbot foi operado por hackers do Leste Europeu e está ativo desde 2008. É o malware descoberto com mais frequência, afetando 2023% das redes corporativas em todo o mundo no primeiro semestre de 11. O Qakbot é particularmente complicado: é um malware multifuncional que lembra um canivete suíço. Permite que os cibercriminosos roubem diretamente dados (incluindo acesso a contas financeiras, cartões de pagamento) ou computadores, ao mesmo tempo que serve como plataforma para infectar as redes das vítimas com malware e ransomware adicionais. Distribuído principalmente por e-mails de phishing, o Qakbot é altamente adaptável e flexível, permitindo que o malware contorne as medidas de segurança. Ele usa tipos de arquivos conhecidos, como OneNote, PDF, HTML, ZIP ou LNK, para enganar os usuários. Diz Sergey Shykevich, gerente de inteligência de ameaças da Check Point Research.
Isto é o que a subsidiária do Google, Mandiant, diz sobre o Qakbot
O FBI trabalhou com parceiros em todo o mundo para neutralizar a infraestrutura de malware Qakbot. A infraestrutura foi usada por cibercriminosos para espalhar ransomware. O ransomware ainda é frequentemente utilizado pelos cibercriminosos para atingir objetivos económicos. De acordo com o relatório de pesquisa M-Trends 2023, 2022% das investigações da Mandiant em 18 envolveram ransomware.
Sandra Joyce, vice-presidente, Inteligência Mandiant no Google Cloud explica: “O ransomware é um grande desafio à segurança nacional que devemos levar tão a sério quanto as ameaças de Estados-nação como a Rússia ou a Coreia do Norte. Os fundamentos do modelo de negócio são sólidos e este problema não será resolvido tão cedo. Muitas das ferramentas que temos à nossa disposição não terão um impacto duradouro. Esses grupos irão se recuperar e voltar. Mas temos a obrigação moral de interromper essas operações sempre que possível.”
Comentário Qakbot por Arctic Wolf
A caça ao pato foi um sucesso: os meios de comunicação social noticiaram que o FBI conseguiu desmantelar a botnet, que era controlada através do malware Qakbot, como parte de uma operação internacional de aplicação da lei chamada “Duck Hunt” com forças da Alemanha, Holanda, Roménia, Letónia e o Reino Unido se tornou.
“O facto de a “caça ao pato” no Qakbot ter sido bem sucedida é positivo por duas razões: por um lado, vemos que as autoridades internacionais responsáveis pela aplicação da lei estão a trabalhar juntas cada vez melhor e, por outro lado, é mais um sinal de que o cibercrime organizado está em seu encalço e eles não podem fazer suas travessuras sem serem perturbados.
No entanto, este importante avanço não deve ser sobrestimado. Embora a botnet tenha sido destruída por enquanto, os códigos-fonte do malware ainda existem – assim como seus desenvolvedores. É de esperar que se reagrupem e retomem o seu “trabalho” dentro de algumas semanas ou meses.
As empresas podem verificar se suas credenciais foram roubadas pelos atores do Qakbot. Isso funciona fornecendo seu próprio endereço de e-mail Tenho sido pwned ou no site da polícia holandesa.” Então Dr. Sebastian Schmerl, Diretor de Serviços de Segurança EMEA Lobo Ártico.