Το Qakbot botnet διαλύθηκε αφού μόλυνε περισσότερους από 700.000 υπολογιστές
Το Qakbot, ένα από τα μεγαλύτερα και μακροβιότερα botnets μέχρι
σήμερα
, καταργήθηκε μετά από μια πολυεθνική επιχείρηση επιβολής του νόμου με επικεφαλής το FBI και γνωστή ως Operation DuckHunt.
Το botnet (γνωστό και ως Qbot και Pinkslipbot) συνδέθηκε από τις αρχές επιβολής του νόμου με τουλάχιστον 40 επιθέσεις ransomware εναντίον εταιρειών, παρόχων υγειονομικής περίθαλψης και κυβερνητικών φορέων παγκοσμίως, προκαλώντας ζημιές εκατοντάδων εκατομμυρίων δολαρίων, σύμφωνα με συντηρητικές εκτιμήσεις. Μόνο τους τελευταίους 18 μήνες, οι ζημίες ξεπέρασαν τα 58 εκατομμύρια δολάρια.
Όλα αυτά τα χρόνια, το Qakbot έχει λειτουργήσει σταθερά ως αρχικός φορέας μόλυνσης για διάφορες συμμορίες ransomware και τις θυγατρικές ή χειριστές τους, συμπεριλαμβανομένων των Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex και, πιο πρόσφατα, του Black Basta.
«Τα θύματα κυμαίνονταν από χρηματοπιστωτικά ιδρύματα στην Ανατολική Ακτή έως έναν κυβερνητικό εργολάβο
υποδομή
ς ζωτικής σημασίας στα Midwest έως έναν κατασκευαστή ιατρικών συσκευών στη Δυτική Ακτή», δήλωσε ο διευθυντής του FBI Christopher Wray.
είπε
.
«Αυτό το botnet παρείχε σε εγκληματίες του
κυβερνοχώρο
υ σαν κι αυτούς μια υποδομή εντολών και ελέγχου που αποτελείται από εκατοντάδες χιλιάδες υπολογιστές που χρησιμοποιούνται για την πραγματοποίηση επιθέσεων εναντίον ατόμων και επιχειρήσεων σε όλο τον κόσμο».
Το FBI διέλυσε την υποδομή του Qakbot αφού μόλυνε περισσότερους από 700.000 υπολογιστές (πάνω από 200.000 στις Ηνωμένες Πολιτείες).
Οι πράκτορες του FBI ανακατεύθυναν την κυκλοφορία του Qakbot σε διακομιστές που ελέγχονται από την υπηρεσία αφού απέκτησαν πρόσβαση στους διακομιστές εντολών και ελέγχου του το βράδυ της Παρασκευής.
Αυτή η στρατηγική πρόσβαση επέτρεψε στο FBI να αναπτύξει ένα πρόγραμμα απεγκατάστασης σε παραβιασμένες συσκευές σε όλο τον κόσμο, εκκαθαρίζοντας τη μόλυνση και αποτρέποντας την ανάπτυξη πρόσθετων κακόβουλων ωφέλιμων φορτίων.
“Το εύρος αυτής της δράσης επιβολής του νόμου περιοριζόταν σε πληροφορίες που είχαν εγκατασταθεί στους υπολογιστές των θυμάτων από τους ηθοποιούς Qakbot”, το Υπουργείο Δικαιοσύνης
είπε σε δελτίο τύπου
σήμερα.
“Δεν επεκτάθηκε στην αποκατάσταση άλλου κακόβουλου λογισμικού που είναι ήδη εγκατεστημένο στους υπολογιστές των θυμάτων και δεν περιελάμβανε πρόσβαση ή τροποποίηση των πληροφοριών των κατόχων και των χρηστών των μολυσμένων υπολογιστών.”
Ο κατάλογος των εταίρων με τους οποίους συνεργάστηκε το FBI κατά τη διάρκεια αυτής της κοινής επιχείρησης περιλαμβάνει την Europol, το Κεντρικό Γραφείο Κυβερνοεγκλήματος της Γαλλικής Αστυνομίας και το Τμήμα Κυβερνοεγκλήματος της Εισαγγελίας του Παρισιού, την Ομοσπονδιακή Ποινική Αστυνομία της Γερμανίας και τη Γενική Εισαγγελία Φρανκφούρτης/Μάιν, την Εθνική Αστυνομία Κάτω Χωρών και την Εθνική Εισαγγελία Office, την Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου, την Εθνική Αστυνομία της Ρουμανίας και την Κρατική Αστυνομία της Λετονίας.
Το FBI συνεργάστηκε επίσης με την CISA, τον Shadowserver, τη
Microsoft
Digital Crimes Unit, την National Cyber Forensics and Training Alliance και το Have I Been Pwned για να ειδοποιήσει τα θύματα.
“Το Qakbot ήταν το botnet της επιλογής για μερικές από τις πιο διαβόητες συμμορίες ransomware, αλλά τώρα το καταργήσαμε. Αυτή η επιχείρηση οδήγησε επίσης στην κατάσχεση σχεδόν 9 εκατομμυρίων δολαρίων σε
κρυπτο
νομίσματα από την κυβερνοεγκληματική οργάνωση Qakbot, η οποία θα γίνει τώρα στη διάθεση των θυμάτων», δήλωσε ο εισαγγελέας των ΗΠΑ Μάρτιν Εστράντα.
