29 серпня 2023 року ФБР США оголосило про ліквідацію багатонаціональної операції з кіберзлому та програм-вимагачів Qakbot або Qbot. Після Hive, Emotet або Zloader, QakBot тепер уражений. Але чи ботнет знищено, а програма-вимагач непридатна для використання чи просто паралізована, як у випадку з Emotet?
Зловмисне програмне забезпечення Qakbot заражало жертв через спам-лист, що містив шахрайські вкладення та посилання. Він також служив платформою для операторів програм-вимагачів. Після того, як комп’ютер жертви було зламано, він став частиною більшої мережі ботів Qakbot, які захоплювали інші комп’ютери. Постраждали 700 000 комп’ютерів у всьому світі, включно з фінансовими установами, державними підрядниками та виробниками медичного обладнання.
Що таке Qakbot?
Qakbot керувався східноєвропейськими хакерами і працює з 2008 року. Це зловмисне програмне забезпечення, яке найчастіше виявляють, у першій половині 2023 року воно вразило 11 відсотків корпоративних мереж у всьому світі. Qakbot особливо складний: це багатоцільова шкідлива програма, яка нагадує швейцарський армійський ніж. Він дозволяє кіберзлочинцям напряму викрадати дані (зокрема, доступ до фінансових рахунків, платіжних карток) або комп’ютери, а також служить платформою для зараження мереж жертв додатковим шкідливим програмним забезпеченням і програмами-вимагачами. В основному розповсюджується через фішингові електронні листи, Qakbot дуже адаптивний і гнучкий, що дозволяє зловмисному програмному забезпеченню обходити заходи безпеки. Він використовує добре відомі типи файлів, такі як OneNote, PDF, HTML, ZIP або LNK, щоб обманювати користувачів. Каже Сергій Шикевич, менеджер із аналізу загроз у Дослідження Check Point.
Ось що говорить дочірня компанія Google Mandiant про Qakbot
Десять кубометрів ФБР співпрацює з партнерами по всьому світу, щоб нейтралізувати інфраструктуру зловмисного програмного забезпечення Qakbot. Цю інфраструктуру використовували кіберзлочинці для поширення програм-вимагачів. Програми-вимагачі все ще часто використовуються кіберзлочинцями для досягнення економічних цілей. Відповідно до звіту про дослідження M-Trends 2023, 2022 відсотків розслідувань Mandiant у 18 році стосувалися програм-вимагачів.
Сандра Джойс, віце-президент, Mandiant Intelligence у Google Cloud пояснює: «Програми-вимагачі є серйозною проблемою для національної безпеки, до якої ми повинні ставитися так само серйозно, як до загроз з боку таких держав, як Росія чи Північна Корея. Основи бізнес-моделі надійні, і ця проблема не буде вирішена найближчим часом. Багато інструментів, які ми маємо в своєму розпорядженні, не матимуть тривалого впливу. Ці групи відновляться і повернуться. Але ми маємо моральне зобов’язання призупинити ці операції, коли це можливо».
Коментар Qakbot від Arctic Wolf
Полювання на качок було успішним: ЗМІ повідомляють, що ФБР вдалося демонтувати ботнет, яким керувала шкідлива програма Qakbot, у рамках міжнародної правоохоронної операції під назвою «Полювання на качок» за участю сил Німеччини, Нідерландів, Румунії, Латвії та Сполучене Королівство стало.
«Той факт, що «полювання на качок» на Qakbot було успішним, є позитивним з двох причин: з одного боку, ми бачимо, що міжнародні правоохоронні органи все краще працюють разом, а з іншого боку, це ще одна ознака того, що організована кіберзлочинність наступає їм на п’яти, і вони не можуть безтурботно творити зло.
Проте не варто переоцінювати цей важливий прорив. Хоча ботнет наразі знищено, вихідні коди зловмисного програмного забезпечення все ще існують, як і їхні розробники. Очікується, що вони перегрупуються та відновлять свою «роботу» протягом кількох тижнів чи місяців.
Компанії можуть перевірити, чи їхні облікові дані не вкрали актори Qakbot. Це працює шляхом надання вашої власної електронної адреси Чи я пірнув або на сайті голландської поліції». Доктор. Себастьян Шмерль, директор служби безпеки EMEA арктичний вовк.