A remoção do Qakbot dos computadores infectados é apenas o primeiro passo

Views: 115
0 0
Read Time:3 Minute, 48 Second

O botnet Qakbot foi interrompido por uma operação internacional de aplicação da lei que culminou no fim de semana passado, quando os computadores infectados começaram a ser desvinculados dele por um software especialmente criado do FBI.

Organizando uma remoção generalizada do Qakbot

Os administradores do Qakbot usam um sistema de servidores em camadas (Nível 1, Nível 2 e Nível 3) para controlar o malware Qakbot instalado em computadores infectados.

“Os servidores de nível 1 são computadores infectados com Qakbot que possuem um módulo adicional de software ‘supernó’ instalado que os torna parte da infraestrutura de controle da botnet”, explicou o FBI em um pedido de mandado de busca. O Tier 2 e o Tier 3 são servidores alugados.

Os servidores de Nível 1 e Nível 2 encaminham as comunicações entre os computadores infectados pelo Qakbot e o servidor de Nível 3, que é o servidor através do qual o botnet é controlado. Os servidores de nível 3 podem ser usados ​​por administradores do Qakbot ou outros criminosos cibernéticos que pagaram para enviar instruções aos computadores infectados.

“Essas instruções podem incluir o download e a instalação no computador da vítima de uma nova versão do malware Qakbot ou outro malware, incluindo ransomware. Todas essas comunicações são criptografadas usando chaves conhecidas pelos administradores do Qakbot (e, como resultado desta investigação, pelo FBI).”

O FBI usou um computador que eles controlam para instruir os servidores de Nível 1 a baixar e instalar um módulo criado pelo FBI que contém uma nova chave de criptografia, para cortar a comunicação entre os administradores do Qakbot e os servidores de Nível 1 e estabelecer comunicação com um servidor controlado pelo FBI. .

Desse servidor, é baixado um programa adicional que desinstala o malware Qakbot e coleta o endereço IP do computador e informações de roteamento associadas para que o FBI possa entrar em contato com as vítimas do Qakbot.

Os pesquisadores de ameaças da Secureworks têm informações técnicas adicionais sobre o executável DLL do Windows usado para encerrar definitivamente o processo Qakbot em execução no host.

De acordo com a Secureworks, a entrega desse módulo começou às 23h27 UTC do dia 25 de agosto BST (ou seja, 19h27 EST, 25 de agosto).

Esforços adicionais de limpeza necessários

Houve outros casos em que o FBI recebeu permissão legal para desativar ou remover malware de dispositivos comprometidos. No início deste ano, eles foram atrás do malware Snake e, em 2021, removeram shells da web maliciosos de servidores Microsoft Exchange baseados nos EUA.

Com o Qakbot sendo um dos malwares mais prevalentes e levando a mais infecções e interrupções, não é de admirar que o FBI pretendesse desinstalá-lo e derrubar a infraestrutura da botnet.

Abuse.ch, uma organização que se concentra na identificação, rastreamento e compartilhamento de inteligência sobre ameaças cibernéticas, mostra que todos os servidores Qakbot C2 originais estão atualmente offline.

Como o Qakbot também tenta roubar credenciais de e-mail para que os operadores de botnets possam aproveitar contas de e-mail comprometidas para entregar o malware a mais vítimas em potencial, o serviço Have I Been Pwned e a Polícia Nacional Holandesa permitem que os usuários verifiquem se estão entre as vítimas.

Mas mesmo que não encontrem o seu e-mail lá, isso não significa que não tenham sido infectados pelo Qakbot. A infecção geralmente é imperceptível e a remoção do malware pelo FBI é igualmente imperceptível para os usuários.

“O FBI identificou os endereços IP de muitos supostos computadores de vítimas. Com base nos registros disponíveis publicamente e na geolocalização de endereços IP, o FBI pode determinar a região geográfica onde os dispositivos que usam um endereço IP específico provavelmente estarão localizados”, afirmou o Bureau.

A lista de IPs foi compartilhada com organizações como o The Spamhaus Project, que notificará os provedores de serviços de e-mail e empresas de hospedagem responsáveis ​​por contas comprometidas para que possam redefinir as senhas dessas contas, e a Shadowserver Foundation, que enviará um relatório aos órgãos nacionais equipe de resposta a incidentes de segurança de computadores (CSIRTs) e proprietários de redes, para ajudá-los a notificar quaisquer vítimas restantes e ajudá-los a lidar com outros malwares entregues pelo Qakbot.

ATUALIZAÇÃO (30 de agosto de 2023, 03h50 horário do leste dos EUA):

A CISA e o FBI compartilharam mais informações e indicadores de comprometimento para ajudar as organizações a detectar e proteger contra atividades e malware relacionados ao QakBot.

FONTE: HELP NET SECURITY

POSTS RELACIONADOS