FBI ogłosiło niedawno, że robiło i unieszkodliwiło międzynarodową operację Qakbot (nazywaną również Qbot), która wywarła wpływ na 700 000 komputerów na całym świecie – w tym instytucje finansowe, administrację rządową i producentów urządzeń medycznych. Eksperci Check Point Research doceniają wysyłki organów ścigania, jednak ostrzegają, że akcja nie oznacza zniszczenia botnetu raz na zawsze.
Szkodliwe oprogramowanie Qakbot (Qbot) infekowało ofiary za pośrednictwem wiadomości spamowych zawierających złośliwe załączniki i łącza. Służyło jako platforma m.in. dla operatorów oprogramowania ransomware. W efekcie komputery ofiar stawały się częścią większego botnetu Qakbota. Na przestrzeni ostatnich lat złośliwe oprogramowanie stało się najbardziej powszechnym narzędziem cyberprzestępców. Zdaniem analityków Check Point Research w I półroczu 2023 roku Qbot miał wpływ na aż 11 proc. sieci korporacyjnych na całym świecie!
Qbot/Qakbot stworzony został w 2008 roku przez cyberprzestępców operujących w Europie Wschodniej. Jest to wielofunkcyjne szkodliwe oprogramowanie, podobne do szwajcarskiego scyzoryka. Umożliwia hakerom bezpośrednią kradzież danych (danych uwierzytelniających do kont finansowych, kart płatniczych itp.) z komputerów, a jednocześnie służy jako platforma początkowego dostępu do infekowania sieci ofiar dodatkowym złośliwym oprogramowaniem i oprogramowaniem ransomware. Qakbot był rozpowszechniany głównie za pośrednictwem wiadomości phishingowych. Zdaniem ekspertów to narzędzie wysoce adaptacyjne i elastyczne, co pozwala mu ominąć część systemów bezpieczeństwa. Do infekowania maszyn wykorzystuje różne typy plików, w tym OneNote, PDF , HTML, ZIP, LNK i inne
– Operacja usunięcia Qakbota jest ważnym krokiem w zakłócaniu dużej inicjatywy cyberprzestępczej. Należą się tu wyrazy uznania dla FBI i jego partnerów, jednocześnie będziemy nadal monitorować długoterminowy wpływ tej sytuacji na cyberprzestępców. Czas pokaże, czy było to całkowite usunięcie, czy też jego operatorzy powrócą – zaznacza Sergey Shykevich, menedżer ds. analizy zagrożeń w Check Point Research.
Zdjęcie przez FBI Qbota nie musi oznaczać trwałego usunięcia zagrożenia. Na początku 2021 roku Europol oraz organy ścigania ośmiu krajów połączyły siły, by zlikwidować rozproszoną infrastrukturę dystrybuującą malware Emotet. Operacja przeprowadzona w ramach Europejskiej Multidyscyplinarnej Platformy Przeciwko Zagrożeniom Przestępczym (EMPACT), była niezwykle skomplikowanym zadaniem, którego powodzenie uzależnione było od precyzyjnej koordynacji działań wszystkich służb. Niestety, najpopularniejsze szkodliwe oprogramowanie 2020 roku powróciło już pod koniec 2021 roku. W pierwszej połowie 2023 r. Emotet był czwartym najczęściej wykrywanym typem malware’u z wpływem na około 6 proc. sieci na świecie.
