По данным The Hacker News , QakBot — это печально известная вредоносная программа для Windows, которая, по оценкам, заразила более 700 000 компьютеров по всему миру и способствует финансовому мошенничеству, а также вымогательству.

Министерство юстиции США заявило, что вредоносное ПО удаляется с компьютеров жертв, что исключает возможность причинения им дальнейшего вреда, а власти изъяли более 8,6 млн долларов в незаконной криптовалюте.

В трансграничной операции приняли участие Франция, Германия, Латвия, Румыния, Нидерланды, Великобритания и США при технической поддержке компании по кибербезопасности Zscaler. Это была крупнейшая операция США по борьбе с инфраструктурой ботнетов, используемой киберпреступниками, хотя об арестах не сообщалось.

QakBot, также известный как QBot и Pinkslipbot, начал свою деятельность в качестве банковского трояна в 2007 году, а затем превратился в центр распространения вредоносного ПО на зараженных компьютерах, включая программы-вымогатели. Среди программ-вымогателей от QakBot можно назвать Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. Предполагается, что операторы QakBot получили около 58 миллионов долларов в качестве выкупа от жертв в период с октября 2021 года по апрель 2023 года.

Эта модульная вредоносная программа, часто распространяемая через фишинговые письма, оснащена возможностями выполнения команд и сбора информации. QakBot постоянно обновлялся на протяжении всего своего существования. Министерство юстиции заявило, что компьютеры, зараженные вредоносным ПО, были частью ботнета, что означает, что злоумышленники могли удаленно и скоординированно управлять всеми зараженными компьютерами.

Согласно судебным документам, операция получила доступ к инфраструктуре QakBot, которая затем могла перенаправлять трафик ботнета через серверы, контролируемые ФБР, с конечной целью — отключить преступную цепочку поставок. Серверы дали указание зараженным компьютерам загрузить деинсталлятор, предназначенный для удаления машин из ботнета QakBot, что фактически предотвратило распространение дополнительных компонентов вредоносного ПО.

Со временем QakBot стал более изощренным, быстро меняя тактику в ответ на новые меры безопасности. После того как Microsoft отключила макросы по умолчанию во всех приложениях Office, в начале этого года вредоносная программа начала использовать файлы OneNote в качестве вектора заражения.

Сложность и адаптивность также заключаются в использовании в качестве оружия нескольких форматов файлов, таких как PDF, HTML и ZIP, в цепочке атак QakBot. Большинство серверов управления и контроля вредоносного ПО расположены в США, Великобритании, Индии, Канаде и Франции, а вспомогательная инфраструктура, как полагают, находится в России.

QakBot, как и Emotet и IcedID, использует трехуровневую серверную систему для управления и взаимодействия с вредоносным ПО, установленным на зараженных компьютерах. Основной целью серверов 1-го и 2-го уровня является ретрансляция сообщений, содержащих зашифрованные данные, между зараженными машинами и серверами 3-го уровня, которые управляют ботнетом.

По состоянию на середину июня 2023 года в 63 странах было выявлено 853 сервера первого уровня, при этом серверы второго уровня выступали в качестве прокси-серверов для маскировки основного сервера управления. Данные, собранные Abuse.ch, показывают, что все серверы QakBot сейчас отключены.

По данным HP Wolf Security, QakBot также был одним из самых активных семейств вредоносных программ во втором квартале 2023 года с 18 цепочками атак и 56 кампаниями. Это свидетельствует о тенденции, когда преступные группы пытаются быстро воспользоваться уязвимостями в системах киберзащиты для получения незаконной прибыли.