Qakbot, um botnet notório, foi derrubado por uma operação multinacional de aplicação da lei liderada pelo FBI, Operação “Caça ao Pato”. A rede de bots, também chamado de Qbot e Pinkslipbot, que é considerado um dos maiores e mais antigos botnets até hoje. De acordo com estimativas conservadoras, autoridades policiais vincularam Qakbot a pelo menos 40 ataques de ransomware. Esses ataques tiveram como alvo empresas, prestadores de cuidados de saúde, e agências governamentais em todo o mundo, causando danos de centenas de milhões de dólares. Nos últimos 18 meses, as perdas devido a esses ataques excederam 58 Milhão de dolares.
Sabe-se que Qakbot implanta vários tipos de malware, trojans, e variantes de ransomware altamente destrutivas. Eles também usaram suas afiliadas ou operadoras, que incluem Conti, ProLock, Egrégora, REvil, RansomExx, Megacórtex, e most recently, Black Basta. Tem como alvo os Estados Unidos e outras infra-estruturas globais, incluindo o Subsetor de Infraestrutura Eleitoral, Serviços financeiros, Serviços de emergência, e setores de instalações comerciais.
Como o botnet Qakbot foi detectado?
O FBI encontrou vários arquivos relacionados à operação do Rede de bots Qakbot em um computador usado por um de seus administradores. Esses arquivos incluíam bate-papos entre os administradores do Qakbot e co-conspiradores. Também um diretório contendo vários arquivos que continham informações relacionadas a carteiras de moeda virtual, de acordo com documentos judiciais, que incluía um computador usado por um de seus administradores após tinha infectado mais 700,000 computadores, Com mais 200,000 nos Estados Unidos.
Ao pesquisar no mesmo computador, um arquivo separado chamado 'payments.txt'
foi descoberto. Continha um lista de pessoas que foram vítimas para ransomware. Também incluiu informações sobre o grupo de ransomware, detalhes sobre seus sistemas de computador, datas dos ataques, e a quantidade de BTC paga aos administradores do Qakbot em conexão com os ataques.
A agência redirecionou o tráfego do Qakbot para seus servidores, dando ao FBI o acesso necessário para remover o malware de dispositivos comprometidos em todo o mundo. Isso evitou a implantação de quaisquer cargas maliciosas adicionais.
As vítimas não foram informadas quando o desinstalador foi executado para remover o malware de seus sistemas. Ainda, o O FBI os contatou usando endereços IP e roteamento de informações coletadas de seus computadores durante a remoção.
Recomendações
As organizações devem implementar as recomendações fornecidas na CSA conjunta da CISA e do FBI. Isso ajudará a diminuir o risco de atividades relacionadas ao QakBot e tornar mais fácil a detecção de ransomware facilitado pelo QakBot e infecções por malware. Se você se deparar com algum incidente ou atividade anômala, sinta-se à vontade para entrar em contato com qualquer uma das seguintes organizações sem demora:
- CISA, seja por meio da ferramenta online da agência (cisa.gov/report) ou o 24/7 Centro de Operações ou (888) 282-0870.
- FBI através de um escritório de campo local.
Como prevenir ataques de botnets?
Usando software antimalware é uma medida importante para proteger seu computador contra ameaças online. Os cibercriminosos podem usar malware para roubar suas informações privadas, monitorar sua atividade on-line, ou assumir o controle do seu computador e usá-lo como um botnet. No entanto, um software antimalware confiável pode detectar e remover malware antes que ele possa danificar seu sistema. Para ser proativo na proteção do seu computador, é necessário atualizar regularmente seu software antimalware e realizar verificações completas do sistema. Também é crucial para manter seu sistema operacional e outros softwares atualizados, já que as atualizações de software geralmente fornecem patches de segurança que abordam vulnerabilidades conhecidas.