0
0
A infraestrutura por trás do infame malware Qakbot, uma ferramenta favorita dos cibercriminosos em todo o mundo, foi derrubada pelos federais em uma operação chamada “Duck Hunt”.
Os remediadores oficiais também se conectaram proativamente aos computadores comprometidos para neutralizar as infecções do Qakbot em dezenas de milhares de máquinas das vítimas, de acordo com o Departamento de Justiça dos EUA (DoJ), que afirmou que o fizeram com “acesso legal”.
O Qakbot (também conhecido como Qbot) é normalmente usado como um implante de primeiro estágio, infectando computadores depois que um alvo involuntário abre um anexo malicioso em um e-mail. Depois de comprometer uma máquina, ele a escraviza a uma infraestrutura de botnet e fica à espera de mais instruções. A rede persistente de infecções resultante pode então fornecer, conforme necessário, malware adicional sob demanda.
Assim, depois de emergir em 2007 como um Trojan bancário, evoluiu para se tornar parte do mercado inicial de corretores de acesso na Dark Web , com os seus operadores alugando o acesso à sua rede de máquinas comprometidas a qualquer cibercriminoso pagante. Qakbot tem sido um facilitador chave para uma infinidade de campanhas diferentes de vários atores de ameaças, entregando cargas úteis que variam de ransomware a criptomineradores e spyware.
Eliminação proativa do estado de infecções Qakbot
O DoJ e o FBI anunciaram na terça-feira que, numa ação conjunta com França, Alemanha, Holanda, Roménia, Letónia e Reino Unido, as autoridades globais identificaram e acederam a mais de 700.000 computadores infectados com Qakbot em todo o mundo – incluindo mais de 200.000 no mundo. NÓS. As infecções por Qakbot tendem a afetar igualmente usuários domésticos e empresariais, de acordo com uma pesquisa recente da Secureworks.
“Para interromper a botnet, o FBI redirecionou o tráfego do Qakbot para servidores controlados pelo Bureau que instruíram os computadores infectados a baixar um arquivo de desinstalação”, de acordo com o anúncio de remoção do Qakbot do DoJ divulgado na terça-feira. “Este desinstalador – criado para remover o malware Qakbot – liberou computadores infectados da botnet e impediu a instalação de qualquer malware adicional.”
As interrupções anteriores também adotaram uma abordagem proativa quando se trata de limpeza de endpoints, embora a prática possa ser controversa. Por exemplo, em maio, o FBI usou uma ferramenta personalizada chamada Perseus como parte do que apelidou de “Operação Medusa”, com o objetivo de desativar o malware Snake em computadores comprometidos; Snake era um malware de assinatura usado pela ameaça persistente avançada (APT) Turla, patrocinada pela Rússia.
O Perseus emitiu comandos que fizeram com que o malware Snake substituísse seus próprios componentes vitais e foi executado em máquinas sem o consentimento ativo dos usuários, graças a um mandado de busca emitido por um juiz dos EUA autorizando o acesso remoto.
Roger Grimes, evangelista de defesa baseado em dados da KnowBe4, observou que a decisão de redirecionar os nós explorados para um servidor mais seguro, a fim de fazer uma limpeza proativa, era um risco com uma recompensa positiva.
“Esse tipo de limpeza proativa costumava ser rara e frequentemente contestada, até mesmo por muitos especialistas em segurança cibernética”, disse ele em comunicado enviado por e-mail. “Se não for feita corretamente, a remoção pode dar muito errado. Estou feliz que o FBI e seus parceiros tenham decidido que a limpeza proativa valeu a pena o risco. Ela melhora não apenas as pessoas e organizações exploradas que têm o Qakbot instalado, mas também as próximas vítimas inocentes. .”
Por sua vez, o DoJ chama o esforço de “uma das maiores perturbações de uma infraestrutura de botnet liderada pelos EUA” já realizada.
“O FBI neutralizou esta cadeia de abastecimento criminosa de longo alcance, cortando-a pela raiz”, disse o diretor do FBI, Christopher Wray. “As vítimas variaram de instituições financeiras na Costa Leste a um empreiteiro governamental de infraestrutura crítica no Centro-Oeste e a um fabricante de dispositivos médicos na Costa Oeste.”
Qakbot está inativo, mas provavelmente não está fora
Embora uma vitória seja uma vitória, as derrubadas anteriores dos irmãos espirituais de Qakbot, Trickbot e Emotet , demonstraram que o impacto de tais interrupções no cyber underground pode não ser tão significativo no longo prazo, de acordo com Chester Wisniewski, CTO de pesquisa aplicada da Sophos.
“Interromper a botnet Qakbot… imporá inconvenientes significativos aos operadores da botnet e aos grupos criminosos dependentes”, observou ele por e-mail. “Infelizmente, isso não impedirá os mestres do Qakbot de reconstituí-lo e continuar a lucrar com nossas falhas de segurança. Sempre que pudermos aumentar o custo para os criminosos operarem seus esquemas, devemos aproveitar essas oportunidades, mas isso não significa que podemos descansar. sobre os louros[.] Devemos continuar a trabalhar para identificar os responsáveis e responsabilizá-los para realmente desabilitar suas operações.”
Os pesquisadores da Mandiant concordaram, mas observaram que atacar qualquer parte do cenário cada vez mais profissional das parcerias de crimes cibernéticos equivale a uma responsabilidade ética, dado que o ransomware, em particular, é um grande desafio à segurança nacional devido ao envolvimento de estados-nação adversários, como a Rússia ou a Coreia do Norte.
“Os alicerces deste modelo de negócios são sólidos e este problema não irá desaparecer tão cedo; muitas das ferramentas que temos à nossa disposição não terão efeitos duradouros”, disse Sandra Joyce, vice-presidente da Mandiant Intelligence. — Google Cloud, em comunicado. “Esses grupos vão se recuperar e voltarão. Mas temos a obrigação moral de interromper essas operações sempre que possível”.
Quanto ao que isto significa para as empresas de uma perspectiva operacional, Kimberly Goody, gestora sénior de análise financeira da Mandiant, disse esperar algumas fracturas de curto prazo no ecossistema criminoso que poderiam dar origem a novas parcerias nas quais os defensores precisam de manter os olhos.
“Os atores que usaram o Qakbot em invasões de ransomware, por exemplo, podem recorrer a comunidades clandestinas em busca de provedores de acesso inicial, resultando em táticas de acesso inicial mais variadas no curto prazo”, observou ela.
FONTE: DARKREADING