169855 – 31082023 – Activ din 2007, malware-ul Qakbot (cunoscut și sub numele de QBot sau Pinkslipbot) a evoluat de-a lungul timpului folosind diferite tehnici pentru a infecta utilizatorii și a compromite sistemele. Qakbot s-a infiltrat în computerele victimelor prin e-mailuri spam care conțineau atașamente sau hyperlinkuri infectate. Odată instalat pe computer, malware-ul a permis infecțiile cu ransomware. În plus, computerul infectat a devenit parte dintr-o rețea botnet (o rețea de computere compromise) controlată simultan de infractorii cibernetici, de obicei fără știrea victimelor. Cu toate acestea, obiectivul principal al Qakbot a fost pe furtul datelor financiare și a acreditărilor de conectare din browserele web.
O amplă operațiune internațională coordonată de Europol a distrus infrastructura malware-ului Qakbot și a condus la confiscarea a aproape 8 milioane euro în criptomonede. Ancheta internațională a implicat autorități judiciare și de aplicare a legii din Franța, Germania, Letonia, Țările de Jos, România, Regatul Unit și Statele Unite.
Qakbot, operat de un grup de criminali cibernetici organizați, a vizat infrastructura critică și afaceri din mai multe țări, furând date financiare și acreditări de conectare. Criminalii cibernetici au folosit acest malware persistent pentru a comite programe de tip ransomware, fraudă și alte infracțiuni activate cibernetic.
Cum funcționează Qakbot?
- Victima primește un e-mail cu un atașament sau un hyperlink și dă clic pe acesta;
- Qakbot înșală victima să descarce fișiere rău intenționate, imitând un proces legitim;
- Qakbot execută și apoi instalează alte programe malware, cum ar fi troienii bancari;
- Atacatorul fură apoi date financiare, informații din browser/cârlige, apăsări de taste și/sau parole;
- Alte programe malware, cum ar fi ransomware, sunt plasate pe computerul victimei.
Peste 700 000 de computere infectate în întreaga lume
Un număr de grupuri de ransomware au folosit Qakbot pentru a efectua un număr mare de atacuri ransomware asupra infrastructurii critice și de afaceri. Administratorii rețelei bot au oferit acestor grupuri acces la rețelele infectate contra cost. Ancheta sugerează că, în perioada octombrie 2021-aprilie 2023, administratorii au primit taxe de aproape 54 de milioane de euro în răscumpărări plătite de victime. Examinarea legală a infrastructurii confiscate a descoperit că malware-ul a infectat peste 700.000 de computere din întreaga lume. Servere infectate cu Qakbot au fost descoperite în aproape 30 de țări din Europa, America de Sud și de Nord, Asia și Africa.