Как лучшие предложения, хвост не застрял
Многонациональная операция под руководством ФБР снял ботнет Какбот. Зараженная компьютерная сеть была связана с более чем 40 кибератаками программа-вымогатель, которое затронуло компании, учреждения здравоохранения и государственные учреждения. По оценкам, за последние 18 месяцев ущерб от этого составил около 58 миллионов долларов США.
Qakbot использовался группами REvil и RansomExx (Иллюстративное изображение: Кевин Хорват/Unsplash)
Qakbot заразил более 700 000 компьютеров, более 200 000 только в США. На протяжении многих лет сеть (также известная как Qbot и Pinkslipbot) служила первоначальным вектором заражения для различных группировок, занимающихся вымогательством.
Среди этих группировок — REvil, вторгшаяся в JBS, и RansomExx, ответственная за атаки на Высший суд (STJ), Embraer и секретариат национального казначейства. Другими бандами, связанными с Qakbot, являются Conti, ProLock, Egregor, MegaCortex и Black Basta.
«Этот ботнет предоставил таким киберпреступникам инфраструктуру управления и контроля с сотнями тысяч компьютеров, используемых для проведения атак на отдельных лиц и компании по всему миру», — сказал Кристофер Рэй, директор ФБР.
ФБР проникло в ботнет, чтобы уничтожить его
Чтобы разрушить сеть, ФБР проникло в некоторые части ее инфраструктуры, включая один из компьютеров, используемых администратором ботнета.
Там американские агенты нашли файлы, связанные с операцией, например, разговоры администраторов и файлы виртуального кошелька.
Это может показаться невероятным, но существовал даже файл под названием «pays.txt» со списком жертв вымогателей, ответственной группой, подробностями о системах, датами и указанием суммы, уплаченной в биткойнах за услуги ботнета.
ФБР перенаправило трафик Qakbot на серверы, контролируемые агентством. Таким образом, власти получили необходимый доступ для использования деинсталлятора и освобождения скомпрометированных устройств.
Этот процесс происходил незаметно, но ФБР уведомляло жертв, используя IP-данные и информацию о маршрутизации, полученную с самих зараженных машин.
Qakbot прошел путь от мошенничества до программы-вымогателя за 15 лет
Qakbot стартовал как банковский троян в 2008 году. Он использовался для кражи данных входа в систему, файлов cookie и информации о кредитных картах с целью финансового мошенничества.
С годами он превратился в службу доставки вредоносного ПО. Таким образом, он предоставил доступ к сетям для атак с использованием программ-вымогателей, кражи данных и другой преступной деятельности.
Сеть была сформирована путем заражения компьютеров посредством фишинговых кампаний в различных форматах, включая взлом учетных записей электронной почты и ответы на разговоры с зараженными документами.
Когда вредоносное ПО заражает компьютер, оно внедряется в память легитимного процесса Windows. Его можно использовать для кражи информации о жертве, включая электронные письма, для будущих фишинговых кампаний.
Помимо ФБР в акции приняли участие власти Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии.
Как узнать, стали ли вы жертвой Qakbot
Помимо уведомлений от ФБР, узнать, стали ли вы жертвой ботнета, можно двумя способами.
Один из них — зайти на сайт Have I Been Pwned и указать свой адрес электронной почты. Сервис предоставляет информацию об утечках информации и содержит подробную информацию об атаках Qakbot.
Другой вариант — указать свой адрес электронной почты на веб-сайте Национальной полиции Нидерландов. Если ваш адрес был найден в кампаниях, связанных с Qakbot, вы получите сообщение.
С информацией: Bleeping Computer 1, 2.
FBIEUASTJREvilМеня наказалиEmbraerWindows