Οι χάκερ Qakbot εξακολουθούν να στέλνουν ανεπιθύμητα μηνύματα στα θύματα παρά την κατάργηση του FBI
Οι χάκερ πίσω από το
Qakbot
, μια διαβόητη επιχείρηση κακόβουλου λογισμικού που πρόσφατα «εξαρθρώθηκε» από το FBI, εξακολουθούν να είναι ενεργοί και συνεχίζουν να στοχεύουν νέα θύματα, λένε οι ερευνητές.
Το FBI ανακοίνωσε τον Αύγουστο ότι είχε «διατάραξει και διαλύσει» με επιτυχία την υποδομή του μακροχρόνιου κακόβουλου λογισμικού Qakbot, το οποίο είχε μολύνει περισσότερα από 700.000 μηχανήματα σε όλο τον κόσμο προκαλώντας ζημιές εκατοντάδων εκατομμυρίων δολαρίων. Το FBI είπε τότε ότι η κατάργηση, που ονομάστηκε «Επιχείρηση Duck Hunt», περιελάμβανε την κατάσχεση 52 διακομιστών, οι οποίοι σύμφωνα με την υπηρεσία θα «διέλυαν οριστικά» το botnet.
Παρά αυτές τις προσπάθειες, οι χάκερ πίσω από το κακόβουλο
λογισμικό
Qakbot συνεχίζουν να στέλνουν ανεπιθύμητα μηνύματα σε νέα θύματα, σύμφωνα με νέα έρευνα της Cisco Talos.
Οι ερευνητές λένε ότι έχουν παρατηρήσει χάκερ να πραγματοποιούν μια εκστρατεία από τις αρχές Αυγούστου, κατά τη διάρκεια της οποίας διένειμαν ransomware Ransom Knight, μια πρόσφατη μετονομασία της λειτουργίας Cyclops ransomware-as-a-service, και το trojan απομακρυσμένης πρόσβασης Remcos, το οποίο παρέχει στους εισβολείς πλήρης πρόσβαση στο μηχάνημα του θύματος με την αποστολή email phishing. Οι εισβολείς άρχισαν επίσης να διανέμουν το κακόβουλο λογισμικό για κλοπή πληροφοριών RedLine και την κερκόπορτα Darkgate, λέει στο TechCrunch ο ερευνητής του Talos, Guilherme Venere.
Η Talos λέει ότι αξιολογεί με «μέτρια σιγουριά» ότι πίσω από αυτήν την
καμπάνια
βρίσκονται χάκερ που συνδέονται με το Qakbot, σημειώνοντας ότι τα ονόματα αρχείων που χρησιμοποιούνται, μαζί με θέματα επειγόντων οικονομικών θεμάτων, συνάδουν με προηγούμενες εκστρατείες Qakbot.
Ο Talos σημειώνει ότι τα κακόβουλα ονόματα αρχείων που χρησιμοποιούνται είναι γραμμένα στα ιταλικά, γεγονός που υποδηλώνει ότι οι χάκερ στοχεύουν κυρίως χρήστες σε αυτήν την περιοχή, προσθέτοντας ότι η καμπάνια έχει στοχεύσει επίσης αγγλόφωνα και γερμανόφωνα άτομα. Ο Venere λέει στο TechCrunch ότι ο εντοπισμός του πραγματικού πεδίου της καμπάνιας είναι δύσκολος, αλλά είπε ότι το δίκτυο διανομής Qakbot είναι εξαιρετικά αποτελεσματικό και έχει την ικανότητα να προωθήσει εκστρατείες μεγάλης κλίμακας.
Τα προηγούμενα θύματα του Qakbot περιλάμβαναν μια εταιρεία ηλεκτρολογικών μηχανικών με έδρα το Ιλινόις. οργανισμοί χρηματοοικονομικών υπηρεσιών με έδρα την Αλαμπάμα, το Κάνσας και το Μέριλαντ· κατασκευαστής άμυνας με έδρα το Μέριλαντ. και μια εταιρεία διανομής τροφίμων στη Νότια Καλιφόρνια, σύμφωνα με το FBI.
Αυτή η εκστρατεία, η οποία ξεκίνησε πριν από την κατάργηση του FBI, είναι σε
εξέλιξη
, σύμφωνα με τους ερευνητές. Αυτό υποδηλώνει ότι το Operation Duck Hunt μπορεί να μην επηρέασε την υποδομή παράδοσης ανεπιθύμητων μηνυμάτων των χειριστών Qakbot, αλλά μόνο τους διακομιστές εντολών και ελέγχου (C2), σύμφωνα με τον Talos.
«Το Qakbot πιθανότατα θα συνεχίσει να αποτελεί σημαντική απειλή προς τα εμπρός, καθώς οι προγραμματιστές δεν συνελήφθησαν και ο Talos εκτιμά ότι εξακολουθούν να λειτουργούν», είπε ο Βένερ. Ο Talos σημείωσε ότι οι επιτιθέμενοι μπορεί να επιλέξουν να ξαναχτίσουν την υποδομή Qakbot, επιτρέποντάς τους να συνεχίσουν πλήρως τη δραστηριότητα πριν από την κατάργηση.
Ένας ανώνυμος εκπρόσωπος του FBI αρνήθηκε να σχολιάσει.