Глобальные усилия под руководством ФБР ликвидировали огромный ботнет Qakbot
31 августа 2023 г.Многонациональная акция под названием «Операция «Утиная охота»», возглавляемая ФБР, Министерством юстиции, Национальным альянсом кибербезопасности, Европолом и криминальными чиновниками Франции, Германии, Нидерландов, Румынии, Латвии и Великобритании, смогла получить доступ к сети Qakbot и отключил вредоносный ботнет, который затронул 700 000 компьютеров по всему миру.
Перейти к:
- Qakbot получил выкуп почти в 58 миллионов долларов всего за 18 месяцев
ФБР внедряет в компьютеры файл деинсталлятора, чтобы удалить Qakbot
Qakbot связан с киберпреступной группировкой Batbug
Всплеск активности с января 2023 года связан с OneNote
Какбот: Ушёл, но ненадолго?
Qakbot получил выкуп почти в 58 миллионов долларов всего за 18 месяцев
За свою более чем 15-летнюю кампанию Qakbot (также известный как Qbot и Pinkslipbot) провел около 40 атак с использованием программ-вымогателей по всему миру, ориентированных на компании, правительства и учреждения здравоохранения, затронувших около 700 000 компьютеров. По данным Министерства юстиции, Qakbot, как и почти все атаки программ-вымогателей, поражает жертв посредством спам-сообщений с вредоносными ссылками. Министерство юстиции отметило, что всего за последние полтора года Qakbot причинил ущерб почти на 58 миллионов долларов. В рамках иска против Qakbot Министерство юстиции конфисковало около 8,6 миллионов долларов США в виде незаконных доходов в криптовалюте (вот ордер департамента на арест).
По данным Министерства юстиции, эта акция представляет собой крупнейший финансовый и технический сбой под руководством США в инфраструктуре бот-сетей, которую киберпреступники используют для совершения программ-вымогателей, финансового мошенничества и другой преступной деятельности с использованием кибербезопасности.
«Киберпреступникам, которые полагаются на такие вредоносные программы, как Qakbot, для кражи личных данных невинных жертв, сегодня напомнили, что они не действуют вне рамок закона», — заявил генеральный прокурор Меррик Б. Гарланд в своем заявлении.
СМОТРЕТЬ: LockBit и Cl0P расширяют усилия по борьбе с программами-вымогателями (TechRepublic)
Директор ФБР Кристофер Рэй заявил на веб-сайте ФБР, что жертвами были самые разные люди: от финансовых учреждений на Восточном побережье до государственного подрядчика критической инфраструктуры на Среднем Западе и производителя медицинского оборудования на Западном побережье.
ФБР внедряет в компьютеры файл деинсталлятора, чтобы удалить Qakbot
В ФБР заявили, что в рамках операции оно получило доступ к инфраструктуре Qakbot и выявило сотни тысяч зараженных компьютеров по всему миру, в том числе более 200 000 в США. В рамках операции Бюро перенаправило трафик Qakbot на свои собственные серверы. который инструктировал зараженные компьютеры загрузить файл деинсталлятора. Деинсталлятор смог освободить зараженные компьютеры от ботнета и предотвратить установку любого другого вредоносного ПО на зараженные компьютеры.
Ричард Сулс, консультант по безопасности и управлению рисками в фирме по кибербезопасности WithSecure, сказал, что подход ФБР, которое захватило контрольные серверы Qakbot и использовало программное обеспечение, созданное правоохранительными органами, для удаления Qakbot с зараженных компьютеров, был новым подходом.
«Ранее это не было задокументировано, и это отличный шаг в правильном направлении», — сказал он. «Обычно, когда ботнет отключается, серверы управления отключаются и отключаются, что означает, что трафик перенаправляется «хорошим парням» для анализа, сбора разведданных и помощи жертвам». Он сказал, что хорошим примером такого подхода является проникновение червя Conficker.
Министерство юстиции заявило, что оно получило техническую помощь от Zscaler и что ФБР установило партнерские отношения с Агентством кибербезопасности и безопасности инфраструктуры, Shadowserver, подразделением Microsoft по борьбе с цифровыми преступлениями, Национальным альянсом киберкриминалистики и обучения и организацией Have I Been Pwned, чтобы помочь в уведомлении жертв и возмещении ущерба. .
Qakbot связан с киберпреступной группировкой Batbug
Ботнет Qakbot управляется киберпреступной группой, которую Symantec называет Batbug, которая, по словам компании-разработчика программного обеспечения, контролирует прибыльную сеть распространения вредоносного ПО, связанную с рядом крупных групп, занимающихся вымогательством. По данным Министерства юстиции, в число этих групп вымогателей входят Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta.
SEE: Anonymous Судан атакует европейскую инвестиционную инфраструктуру (TechRepublic)
«Это удаление, скорее всего, нарушит работу Batbug, и возможно, что после этого группе будет сложно восстановить свою инфраструктуру», — заявила команда охотников за угрозами Symantec в блоге. Авторы отмечают, что Qakbot изначально возник как троян, нацеленный на финансовые учреждения, и стал известен своей функциональностью и адаптивностью.
«Например, однажды заразив одну машину в организации, он смог распространиться по сетям, используя функциональность, подобную червю, путем перебора сетевых ресурсов и учетных записей групп пользователей Active Directory или с помощью эксплуатации блока сообщений сервера (SMB). — написала команда Symantec.
Всплеск активности с января 2023 года связан с OneNote
Исследователи Symantec отметили всплеск активности Qakbot с начала 2023 года по июнь, в период, когда ботнет начал использовать вложения в Microsoft OneNote для установки Qakbot на зараженные машины. OneNote, как отметили авторы Symantec, является установкой по умолчанию в Microsoft Office/365. «Даже если пользователь Windows обычно не использует это приложение, оно все равно доступно для открытия файла данного формата», — написали они.
Авторы блога Symantec также сообщили, что электронные письма, зараженные Qakbot, содержали встроенный URL-адрес, который вел к ZIP-архиву, содержащему вредоносный файл OneNote. Когда жертвы нажимали на файл, они непреднамеренно запускали файл HTML-приложения, вызывая загрузку на компьютер жертвы библиотеки Qakbot DLL в виде файла .png. Исследователи Symantec добавили, что эта цепочка уничтожений исчезла, и злоумышленники использовали PDF-документы, ведущие на URL-адреса с вредоносными ZIP-архивами, содержащими загрузчики JavaScript.
Пол Бруччиани, советник WithSecure, заявил, что эти действия, по всей видимости, отражают Национальную стратегию кибербезопасности ФБР США, объявленную в марте 2023 года, в частности, касающуюся обмена информацией об угрозах между правительствами и частным сектором; использование военных, кибер-, дипломатических и других возможностей против субъектов угроз; и сдерживание атак, делая атаку на системы более дорогостоящей, чем ее защиту.
Какбот: Ушёл, но ненадолго?
Появится ли Qakbot снова после некоторого переоснащения, чтобы обойти новую защиту? Сулс из WithSecure сказал, что такое может произойти. «Создатели этих ботнетов часто обладают высокой квалификацией (иногда это национальные государства и/или APT), и поэтому мы наблюдаем, как ботнеты возвращаются из могилы, часто с модификациями», — сказал он, указывая на Kelihos, который был провален в сентябре. 2011 г. и вернулся в январе 2012 г. в виде новой версии.
«Один из случаев, когда мы видели перенастройку и возрождение ботнетов, — это утечка их исходного кода», — сказал Сулс. «Например, вредоносное ПО Zbot, исходный код которого попал в Интернет, что позволяет нескольким участникам просматривать, обновлять и использовать базовый код для своих собственных ботнетов. Я не сомневаюсь, что код ботнета можно купить в самых темных уголках Интернета».
Джесс Парнелл, вице-президент по операциям безопасности компании Centripetal, занимающейся разведкой угроз, сказал, что успех Qakbot доказывает, что самое слабое звено является наименее сложным.
«Некоторые могут подумать, что простой спам по электронной почте или SMS-сообщение безвреден, но, как мы постоянно видим, организации по всему миру ежедневно подвергаются крупным кибератакам, которые часто замаскированы под что-то другое», — сказал он. «Оставаясь информированными, проявляя инициативу и сотрудничая, организации могут значительно снизить риск стать жертвой кибератак».
Оригинал