Скоординированные усилия правоохранительных органов под кодовым названием Operation Duck Hunt привели к уничтожению QakBot, печально известного семейства вредоносных программ для Windows, которые, по оценкам, скомпрометировали более 700 000 компьютеров по всему миру и способствовали финансовому мошенничеству, а также программ-вымогателей.
С этой целью Министерство юстиции США заявило, что вредоносное ПО "удаляется с компьютеров жертв, предотвращая его дальнейшее причинение вреда", добавив, что оно конфисковало более 8,6 миллионов долларов в криптовалюте в качестве незаконной прибыли.
В трансграничной операции приняли участие Франция, Германия, Латвия, Румыния, Нидерланды, Великобритания и США, наряду с технической помощью компании по кибербезопасности Zscaler.
Демонтаж был расценен как "крупнейшее финансовое и техническое нарушение инфраструктуры ботнета под руководством США, используемой киберпреступниками". Об арестах объявлено не было.
QakBot, также известный как QBot и Pinkslipbot, начал свою деятельность как банковский троянец в 2007 году, а затем превратился в швейцарский армейский нож общего назначения, который действует как центр распространения вредоносного кода на зараженных машинах, включая программы-вымогатели, без ведома жертв.
Некоторые из основных семейств программ-вымогателей, распространяемых через QakBot, включают Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. Говорят, что администраторы QakBot получили вознаграждение, соответствующее примерно 58 миллионам долларов выкупа, выплаченных жертвами в период с октября 2021 по апрель 2023 года.
"QakBot был ключевым фактором в экосистеме киберпреступности, способствуя атакам программ-вымогателей и другим серьезным угрозам", - сказал в заявлении Уилл Лайн, глава киберразведки в Национальном агентстве по борьбе с преступностью Великобритании (NCA).
Контрнаступление против QakBot последовало за аналогичным удалением Emotet в октябре 2020 года, которое с тех пор всплыло после серьезного сбоя в его серверной инфраструктуре.
Модульное вредоносное ПО, обычно распространяемое через фишинговые электронные письма, также оснащено функциями выполнения команд и сбора информации. За время своего существования оно постоянно обновлялось, а действующие лица (под кодовыми именами Gold Lagoon или Mallard Spider), как известно, каждое лето брали длительные перерывы, прежде чем возобновить свои кампании рассылки спама.
"Компьютеры жертв, зараженные вредоносной программой QakBot, являются частью ботнета (сети скомпрометированных компьютеров), что означает, что преступники могут удаленно управлять всеми зараженными компьютерами скоординированным образом", - заявили в Министерстве юстиции.
Согласно судебным документам, совместные усилия позволили получить доступ к инфраструктуре QakBot, что позволило перенаправлять трафик ботнета на серверы, контролируемые Федеральным бюро расследований США (ФБР), и через них с конечной целью нейтрализации "разветвленной преступной цепочки поставок".
В частности, серверы дали указание скомпрометированным конечным точкам загрузить файл деинсталляции, предназначенный для отключения компьютеров от ботнета QakBot, эффективно предотвращая доставку дополнительных полезных данных.
Подразделение Secureworks по борьбе с угрозами (CTU) заявило, что 25 августа 2023 года обнаружило ботнет, распространяющий шелл-код на зараженные устройства, который "распаковывает пользовательский исполняемый файл DLL (dynamic-link library), содержащий код, который может чисто завершить запущенный процесс QakBot на хосте" с помощью команды QPCMD_BOT_SHUTDOWN.
"Жертвы [в США] варьировались от финансовых учреждений на Восточном побережье до государственного подрядчика по критической инфраструктуре на Среднем Западе и производителя медицинского оборудования на Западном побережье", - сказал директор ФБР Кристофер Рэй.
Со временем QakBot продемонстрировал более высокий уровень сложности, быстро меняя свою тактику в ответ на новые меры безопасности. Например, после того, как Microsoft отключила макросы по умолчанию во всех приложениях Office, ранее в этом году она начала злоупотреблять файлами OneNote как переносчиком инфекции.
Сложность и адаптивность также очевидны в способности операторов использовать широкий спектр форматов файлов (например, PDF, HTML и ZIP) в своих цепочках атак. Большинство командно-контрольных серверов QakBot (C2) сосредоточены в США, Великобритании, Индии, Канаде и Франции (FR). Его внутренняя инфраструктура расположена в России.
QakBot, подобно Emotet и IcedID, использует трехуровневую систему серверов для контроля вредоносного ПО, установленного на зараженных компьютерах, и взаимодействия с ним. Основное назначение серверов уровня 1 и уровня 2 - пересылать сообщения, содержащие зашифрованные данные, между компьютерами, зараженными QakBot, и сервером уровня 3, который контролирует ботнет.
"QakBot - это очень сложная банковская троянская вредоносная программа, стратегически нацеленная на предприятия в разных странах", - отметили исследователи Zscaler в исчерпывающем анализе, опубликованном в конце июля 2023 года.
"Эта неуловимая угроза использует множество форматов файлов и методов обфускации в своей цепочке атак, что позволяет ей избегать обнаружения обычными антивирусными системами. Экспериментируя с различными цепочками атак, становится очевидно, что злоумышленник, стоящий за QakBot, постоянно совершенствует свои стратегии".
По данным HP Wolf Security, QakBot также был одним из самых активных семейств вредоносных программ во втором квартале 2023 года, задействовав до 18 уникальных цепочек атак и проведя 56 кампаний за этот период времени, что подчеркивает склонность электронной преступной группировки "быстро использовать свои методы для использования пробелов в сетевой защите".
С этой целью Министерство юстиции США заявило, что вредоносное ПО "удаляется с компьютеров жертв, предотвращая его дальнейшее причинение вреда", добавив, что оно конфисковало более 8,6 миллионов долларов в криптовалюте в качестве незаконной прибыли.
В трансграничной операции приняли участие Франция, Германия, Латвия, Румыния, Нидерланды, Великобритания и США, наряду с технической помощью компании по кибербезопасности Zscaler.
Демонтаж был расценен как "крупнейшее финансовое и техническое нарушение инфраструктуры ботнета под руководством США, используемой киберпреступниками". Об арестах объявлено не было.
QakBot, также известный как QBot и Pinkslipbot, начал свою деятельность как банковский троянец в 2007 году, а затем превратился в швейцарский армейский нож общего назначения, который действует как центр распространения вредоносного кода на зараженных машинах, включая программы-вымогатели, без ведома жертв.
Некоторые из основных семейств программ-вымогателей, распространяемых через QakBot, включают Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. Говорят, что администраторы QakBot получили вознаграждение, соответствующее примерно 58 миллионам долларов выкупа, выплаченных жертвами в период с октября 2021 по апрель 2023 года.
"QakBot был ключевым фактором в экосистеме киберпреступности, способствуя атакам программ-вымогателей и другим серьезным угрозам", - сказал в заявлении Уилл Лайн, глава киберразведки в Национальном агентстве по борьбе с преступностью Великобритании (NCA).
Контрнаступление против QakBot последовало за аналогичным удалением Emotet в октябре 2020 года, которое с тех пор всплыло после серьезного сбоя в его серверной инфраструктуре.
Модульное вредоносное ПО, обычно распространяемое через фишинговые электронные письма, также оснащено функциями выполнения команд и сбора информации. За время своего существования оно постоянно обновлялось, а действующие лица (под кодовыми именами Gold Lagoon или Mallard Spider), как известно, каждое лето брали длительные перерывы, прежде чем возобновить свои кампании рассылки спама.
"Компьютеры жертв, зараженные вредоносной программой QakBot, являются частью ботнета (сети скомпрометированных компьютеров), что означает, что преступники могут удаленно управлять всеми зараженными компьютерами скоординированным образом", - заявили в Министерстве юстиции.
Согласно судебным документам, совместные усилия позволили получить доступ к инфраструктуре QakBot, что позволило перенаправлять трафик ботнета на серверы, контролируемые Федеральным бюро расследований США (ФБР), и через них с конечной целью нейтрализации "разветвленной преступной цепочки поставок".
В частности, серверы дали указание скомпрометированным конечным точкам загрузить файл деинсталляции, предназначенный для отключения компьютеров от ботнета QakBot, эффективно предотвращая доставку дополнительных полезных данных.
Подразделение Secureworks по борьбе с угрозами (CTU) заявило, что 25 августа 2023 года обнаружило ботнет, распространяющий шелл-код на зараженные устройства, который "распаковывает пользовательский исполняемый файл DLL (dynamic-link library), содержащий код, который может чисто завершить запущенный процесс QakBot на хосте" с помощью команды QPCMD_BOT_SHUTDOWN.
"Жертвы [в США] варьировались от финансовых учреждений на Восточном побережье до государственного подрядчика по критической инфраструктуре на Среднем Западе и производителя медицинского оборудования на Западном побережье", - сказал директор ФБР Кристофер Рэй.
Со временем QakBot продемонстрировал более высокий уровень сложности, быстро меняя свою тактику в ответ на новые меры безопасности. Например, после того, как Microsoft отключила макросы по умолчанию во всех приложениях Office, ранее в этом году она начала злоупотреблять файлами OneNote как переносчиком инфекции.
Сложность и адаптивность также очевидны в способности операторов использовать широкий спектр форматов файлов (например, PDF, HTML и ZIP) в своих цепочках атак. Большинство командно-контрольных серверов QakBot (C2) сосредоточены в США, Великобритании, Индии, Канаде и Франции (FR). Его внутренняя инфраструктура расположена в России.
QakBot, подобно Emotet и IcedID, использует трехуровневую систему серверов для контроля вредоносного ПО, установленного на зараженных компьютерах, и взаимодействия с ним. Основное назначение серверов уровня 1 и уровня 2 - пересылать сообщения, содержащие зашифрованные данные, между компьютерами, зараженными QakBot, и сервером уровня 3, который контролирует ботнет.
"QakBot - это очень сложная банковская троянская вредоносная программа, стратегически нацеленная на предприятия в разных странах", - отметили исследователи Zscaler в исчерпывающем анализе, опубликованном в конце июля 2023 года.
"Эта неуловимая угроза использует множество форматов файлов и методов обфускации в своей цепочке атак, что позволяет ей избегать обнаружения обычными антивирусными системами. Экспериментируя с различными цепочками атак, становится очевидно, что злоумышленник, стоящий за QakBot, постоянно совершенствует свои стратегии".
По данным HP Wolf Security, QakBot также был одним из самых активных семейств вредоносных программ во втором квартале 2023 года, задействовав до 18 уникальных цепочек атак и проведя 56 кампаний за этот период времени, что подчеркивает склонность электронной преступной группировки "быстро использовать свои методы для использования пробелов в сетевой защите".
