وفقًا لموقع The Hacker News ، فإن QakBot هو سلالة سيئة السمعة من البرامج الضارة لنظام التشغيل Windows والتي يُقدر أنها اخترقت أكثر من 700000 جهاز كمبيوتر على مستوى العالم وتسهل الاحتيال المالي بالإضافة إلى برامج الفدية.

وقالت وزارة العدل الأميركية إن البرمجيات الخبيثة يجري إزالتها من أجهزة الكمبيوتر الخاصة بالضحايا، مما يمنعها من التسبب في أي ضرر آخر، كما صادرت السلطات أكثر من 8.6 مليون دولار من العملات المشفرة غير المشروعة.

وشملت العملية عبر الحدود فرنسا وألمانيا ولاتفيا ورومانيا وهولندا والمملكة المتحدة والولايات المتحدة، بدعم فني من شركة الأمن السيبراني Zscaler. وكانت هذه أكبر حملة تقودها الولايات المتحدة ضد البنية التحتية لشبكات الروبوتات التي يستخدمها مجرمو الإنترنت، على الرغم من عدم الإعلان عن أي اعتقالات.

بدأ QakBot، المعروف أيضًا باسم QBot وPinkslipbot، في العمل كحصان طروادة مصرفي في عام 2007 قبل أن ينتقل إلى العمل كمركز توزيع للبرامج الضارة على الأجهزة المصابة، بما في ذلك برامج الفدية. تتضمن بعض برامج الفدية من QakBot Conti وProLock وEgregor وREvil وMegaCortex وBlack Basta. ويُعتقد أن مشغلي QakBot تلقوا حوالي 58 مليون دولار في مدفوعات الفدية من الضحايا بين أكتوبر 2021 وأبريل 2023.

يتم توزيع هذا البرنامج الخبيث المعياري في كثير من الأحيان عبر رسائل البريد الإلكتروني الاحتيالية، وهو مزود بقدرات تنفيذ الأوامر وجمع المعلومات. تم تحديث QakBot بشكل مستمر طوال فترة وجوده. وقالت وزارة العدل إن أجهزة الكمبيوتر المصابة بالبرمجيات الخبيثة كانت جزءا من شبكة بوت نت، وهو ما يعني أن الجناة يمكنهم التحكم عن بعد في جميع أجهزة الكمبيوتر المصابة بطريقة منسقة.

وبحسب وثائق المحكمة، تمكنت العملية من الوصول إلى البنية التحتية لـ QakBot، والتي يمكنها بعد ذلك إعادة توجيه حركة مرور شبكة الروبوتات عبر خوادم تسيطر عليها مكتب التحقيقات الفيدرالي، بهدف نهائي يتمثل في تعطيل سلسلة التوريد الإجرامية. أصدرت الخوادم تعليمات لأجهزة الكمبيوتر المصابة بتنزيل برنامج إلغاء التثبيت، المصمم لإزالة الأجهزة من شبكة بوتنت QakBot، مما يمنع بشكل فعال توزيع مكونات البرامج الضارة الإضافية.

لقد أظهر QakBot تطوراً متزايداً بمرور الوقت، حيث قام بتغيير التكتيكات بسرعة للاستجابة لتدابير الأمن الجديدة. بعد أن قامت Microsoft بتعطيل وحدات الماكرو بشكل افتراضي في جميع تطبيقات Office، بدأ البرنامج الخبيث في استخدام ملفات OneNote كناقل للعدوى في وقت سابق من هذا العام.

وتكمن أيضًا درجة التطور والقدرة على التكيف في تسليح تنسيقات الملفات المتعددة مثل PDF وHTML وZIP في سلسلة هجوم QakBot. وتقع معظم خوادم القيادة والتحكم الخاصة بالبرمجيات الخبيثة في الولايات المتحدة والمملكة المتحدة والهند وكندا وفرنسا، في حين يُعتقد أن البنية التحتية الداعمة تقع في روسيا.

يستخدم QakBot، مثل Emotet وIcedID، نظام خادم ثلاثي الطبقات للتحكم في البرامج الضارة المثبتة على أجهزة الكمبيوتر المصابة والتواصل معها. الغرض الأساسي من خوادم المستوى 1 و2 هو نقل الاتصالات التي تحتوي على بيانات مشفرة بين الأجهزة المصابة وخوادم المستوى 3 التي تتحكم في شبكة الروبوتات.

اعتبارًا من منتصف يونيو 2023، تم تحديد 853 خادمًا من المستوى الأول في 63 دولة، مع عمل خوادم المستوى الثاني كوكلاء لإخفاء خادم التحكم الرئيسي. تُظهر البيانات التي تم جمعها بواسطة Abuse.ch أن جميع خوادم QakBot أصبحت الآن غير متصلة بالإنترنت.

وفقًا لشركة HP Wolf Security، كان QakBot أيضًا أحد أكثر عائلات البرامج الضارة نشاطًا في الربع الثاني من عام 2023 مع 18 سلسلة هجوم و56 حملة. وهو يوضح اتجاه الجماعات الإجرامية نحو محاولة استغلال نقاط الضعف في أنظمة الدفاع السيبراني بسرعة لتحقيق أرباح غير مشروعة.