0
0
O botnet Qakbot foi paralisado pelo Departamento de Justiça dos EUA (DOJ): 52 de seus servidores foram apreendidos e o popular carregador de malware foi removido de mais de 700.000 computadores vítimas em todo o mundo.
“Para interromper o botnet, o FBI conseguiu redirecionar o tráfego do botnet Qakbot para e através de servidores controlados pelo FBI, que por sua vez instruiu os computadores infectados nos Estados Unidos e em outros lugares a baixar um arquivo criado pelas autoridades que desinstalaria o malware Qakbot . Este desinstalador foi projetado para desconectar o computador da vítima do botnet Qakbot, evitando novas instalações de malware por meio do Qakbot”, explicou o Departamento.
O que é Qakbot?
Qakbot, também conhecido como Qbot ou Pinkslipbot, geralmente é entregue a vítimas em potencial por meio de mensagens de e-mail de spam contendo anexos e/ou links maliciosos. Seu principal objetivo é fornecer malware adicional ao computador infectado.
“Qakbot tem sido usado como meio inicial de infecção por muitos grupos prolíficos de ransomware nos últimos anos, incluindo Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta”, observou o DOJ .
“Esses grupos de ransomware causaram danos significativos a empresas, prestadores de serviços de saúde e agências governamentais em todo o mundo, inclusive a uma empresa de engenharia de energia com sede em Illinois; organizações de serviços financeiros sediadas no Alabama, Kansas e Maryland; um fabricante de defesa com sede em Maryland; e uma empresa de distribuição de alimentos no sul da Califórnia. Os investigadores encontraram evidências de que, entre outubro de 2021 e abril de 2023, os administradores do Qakbot receberam taxas correspondentes a aproximadamente US$ 58 milhões em resgates pagos pelas vítimas.”
As vítimas geralmente não percebem uma infecção pelo Qakbot.
Malware Qakbot removido de computadores infectados
De acordo com o DOJ, 200 mil dos computadores infectados estão localizados nos EUA, o restante em todo o mundo, inclusive nos países cujas agências de aplicação da lei também estiveram envolvidas na operação: França, Alemanha, Holanda, Reino Unido, Romênia e Letônia.
“A equipe da Operação ‘Duck Hunt’ utilizou sua experiência em ciência e tecnologia, mas também confiou em sua engenhosidade e paixão para identificar e paralisar o Qakbot, uma rede de bots altamente estruturada e de múltiplas camadas que estava literalmente alimentando a cadeia global de suprimentos do crime cibernético”, disse Donald Alway, diretor assistente encarregado do escritório de campo do FBI em Los Angeles. “Essas ações evitarão um número incontável de ataques cibernéticos em todos os níveis, desde o computador pessoal comprometido até um ataque catastrófico à nossa infraestrutura crítica.”
O desinstalador do Qakbot entregue às vítimas removerá esse malware específico dos computadores infectados, mas não poderá excluir outro malware que possa estar instalado neles (seja instalado pelo Qakbot ou não).
“Como resultado desta operação, o FBI e a Polícia Nacional Holandesa identificaram inúmeras credenciais de contas que foram comprometidas pelos atores do Qakbot”, observou o DOJ, e direcionou os usuários ao serviço Have I Been Pwned e a um site criado pelo Polícia Nacional Holandesa que pode revelar se as credenciais de suas contas de e-mail foram coletadas pelos operadores do Qakbot.
Como parte desta ação, o DOJ também apreendeu mais de US$ 8,6 milhões em criptomoedas de 20 carteiras controladas pela organização cibercriminosa Qakbot.
“O FBI obteve acesso a partes da infraestrutura de computadores Qakbot, incluindo os computadores Qakbot Admin. Em um desses computadores usado por um administrador do Qakbot, o FBI localizou muitos arquivos relacionados à operação do botnet Qakbot. Esses arquivos incluíam comunicações (por exemplo, chats) entre os administradores do Qakbot e co-conspiradores e um diretório contendo vários arquivos contendo informações sobre carteiras de moeda virtual”, foi explicado no pedido do FBI para um mandado de apreensão desses fundos .
O FBI disse que também encontrou um arquivo que continha uma lista de vítimas de ransomware, detalhes sobre o grupo de ransomware, detalhes do sistema de computador, datas e uma indicação da quantidade de bitcoin paga aos administradores do Qakbot em conexão com o ataque de ransomware.
ATUALIZAÇÃO (30 de agosto de 2023, 08h00 horário do leste dos EUA):
Leia sobre os aspectos técnicos do esforço de limpeza do FBI e o que vem a seguir.
FONTE: HELP NET SECURITY