Um esforço coordenado de aplicação da lei, batizado de Operação Duck Hunt, derrubou o QakBot, uma famosa família de malware para Windows que se estima ter comprometido mais de 700.000 computadores em todo o mundo e facilitado fraudes financeiras, bem como o ransomware.
Para esse fim, o Departamento de Justiça dos EUA (DoJ) afirmou que o malware está "sendo excluído dos computadores das vítimas, impedindo-o de causar mais danos", acrescentando que confiscou mais de $8,6 milhões de criptomoedas em lucros ilegais.
O exercício transfronteiriço envolveu a participação da França, Alemanha, Letônia, Romênia, Holanda, Reino Unido e EUA, além da assistência técnica da empresa de cibersegurança Zscaler.
O desmantelamento foi saudado como "a maior interrupção financeira e técnica dos Estados Unidos de uma infraestrutura de botnet explorada por cibercriminosos".
Nenhuma prisão foi anunciada.
QakBot, também conhecido como QBot e Pinkslipbot, iniciou sua vida como um trojan bancário em 2007 antes de se transformar em uma ferramenta multifunções do tipo canivete suíço que atua como um centro de distribuição de código malicioso em máquinas infectadas, incluindo ransomware, sem o conhecimento das vítimas.
Algumas das principais famílias de ransomware propagadas através do QakBot incluem Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta.
Administradores de QakBot teriam recebido honorários de aproximadamente $58 milhões de dólares em resgates pagos por vítimas entre outubro de 2021 e abril de 2023.
"QakBot foi um facilitador-chave dentro do ecossistema de crimes cibernéticos, facilitando ataques de ransomware e outras ameaças graves", disse Will Lyne, chefe de inteligência cibernética da National Crime Agency (NCA) do Reino Unido, em uma declaração.
A contraofensiva contra o QakBot segue um desmonte semelhante do Emotet em outubro de 2020, que desde então ressurgiu após uma grande interrupção em sua infraestrutura de backend.
Normalmente distribuído por meio de e-mails de phishing, o malware modular também é equipado com execução de comando e capacidades de colheita de informações.
Ele tem visto atualizações constantes durante sua vida útil, com os atores (apelidados de Gold Lagoon ou Mallard Spider) conhecidos por tirar longas pausas a cada verão antes de retomar suas campanhas de spam.
"Os computadores vítimas infectados com o malware QakBot fazem parte de uma botnet (uma rede de computadores comprometidos), o que significa que os perpetradores podem controlar remotamente todos os computadores infectados de maneira coordenada", disse o DoJ.
O esforço conjunto, de acordo com documentos judiciais, permitiu o acesso à infraestrutura do QakBot, tornando assim possível redirecionar o tráfego da botnet para e através de servidores controlados pelo FBI (Federal Bureau of Investigation) dos Estados Unidos com o objetivo final de neutralizar a "corrente de suprimentos criminais de longo alcance".
Especificamente, os servidores instruíram os endpoints comprometidos a baixar um arquivo de desinstalação projetado para desancorar as máquinas da botnet QakBot, prevenindo efetivamente que payloads adicionais sejam entregues.
A Secureworks Counter Threat Unit (CTU) disse que detectou a botnet distribuindo shellcode para dispositivos infectados em 25 de agosto de 2023, que "desempacota um executável DLL (dynamic-link library) personalizado que contém um código que pode encerrar de maneira limpa o processo do QakBot em execução no host" por meio de um comando QPCMD_BOT_SHUTDOWN.
"As vítimas [nos EUA] variaram de instituições financeiras na Costa Leste a um contratante de infraestrutura crítica do governo no Meio-Oeste a um fabricante de dispositivos médicos na Costa Oeste", disse o diretor do FBI, Christopher Wray.
O QakBot demonstrou um nível superior de complexidade ao longo do tempo, alterando rapidamente suas táticas em resposta a novas regras de segurança.
Por exemplo, depois que a Microsoft desativou macros por padrão em todos os aplicativos do Office, ele começou a abusar de arquivos do OneNote como um vetor de infecção no início deste ano.
A sofisticação e adaptabilidade também são evidentes na capacidade dos operadores de weaponizar uma ampla gama de formatos de arquivo (por exemplo, PDF, HTML e ZIP) em suas cadeias de ataque.
A maioria dos servidores de comando e controle (C2) do QakBot estão concentrados nos EUA, no Reino Unido, na Índia, no Canadá e na França (FR).
Sua infraestrutura de backend está localizada na Rússia.
O QakBot, como Emotet e IcedID, emprega um sistema de servidores de três níveis para controlar e se comunicar com o malware instalado em computadores infectados.
O principal propósito dos servidores de Nível 1 e Nível 2 é encaminhar comunicações contendo dados criptografados entre os computadores infectados pelo QakBot e o servidor de Nível 3, que controla a botnet.
"O QakBot é um malware trojan bancário altamente sofisticado, que visa estrategicamente empresas em diferentes países", observaram pesquisadores da Zscaler em uma análise exaustiva publicada em julho de 2023.
"Essa ameaça elusiva emprega vários formatos de arquivo e métodos de ofuscação dentro de sua cadeia de ataque, permitindo que ela evite a detecção de motores antivírus convencionais.
Através de sua experimentação com diversas cadeias de ataque, fica evidente que o ator da ameaça por trás do QakBot está continuamente refinando suas estratégias."
O QakBot também tem sido uma das famílias de malware mais ativas no segundo trimestre de 2023, de acordo com a HP Wolf Security, explorando até 18 cadeias de ataque exclusivas e registrando 56 campanhas durante o período, destacando a propensão do grupo e-crime para "permutar rapidamente suas habilidades para explorar lacunas nas defesas de rede".
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...