Як показують нові дані аналізу загроз від Cisco Talos, суб’єкт загрози (афілійовані особи), який стоїть за шкідливим програмним забезпеченням Qakbot, залишається активним і знову проводить кампанію з початку серпня 2023 року.
Під час кампанії вони поширювали програму-вимагач «Ransom Knight» і бекдор «Remcos» за допомогою фішингових електронних листів. Що особливого: наприкінці серпня інфраструктура Qakbot була конфіскована ФБР. Тим не менш, акція, яка стартувала на початку серпня, триває. Це свідчить про те, що дії правоохоронних органів, можливо, не вплинули на інфраструктуру надсилання спаму операторів Qakbot, а лише на їхні командно-контрольні (C2) сервери.
Qakbot використовує інші канали збуту
Cisco Talos пов’язує нову кампанію з партнерами Qakbot, оскільки метадані у файлах LNK, які використовуються в цій кампанії, збігаються з метаданими машин, які використовувалися в попередніх кампаніях Qakbot «AA» і «BB». Хоча дослідники ще не спостерігали, як суб’єкти загрози самі поширюють Qakbot після закриття інфраструктури, Cisco Talos вважає, що зловмисне програмне забезпечення продовжуватиме становити серйозну загрозу в майбутньому. Причина: розробників не заарештували, тому вони могли вирішити відновити інфраструктуру Qakbot.
«Поточний рівень загрози залишається високим навіть після того, як ФБР закрило інфраструктуру Qakbot. Або кажучи старою футбольною приказкою: «Після гри — до гри», — каже Торстен Розендал із Cisco Talos. «Аналіз показує, що навіть успішний удар по кіберзлочинцях не створює стабільної безпеки. Ситуація з загрозою залишається високою, включно з Німеччиною».
Більше на Cisco.com
Про Cisco Cisco є провідною світовою технологічною компанією, яка робить Інтернет можливим. Cisco відкриває нові можливості для додатків, безпеки даних, трансформації інфраструктури та розширення можливостей команд для глобального та інклюзивного майбутнього.