Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
Casa
Aug 13, 2023
Come l'FBI ha annientato il malware Qakbot dai PC Windows infetti
L'FBI ha annunciato oggi l'interruzione della botnet Qakbot nel corso di un'operazione di polizia internazionale che non solo ha sequestrato l'infrastruttura ma ha anche disinstallato il malware dai dispositivi infetti.
L'FBI ha annunciato oggi l'interruzione della botnet Qakbot nel corso di un'operazione di polizia internazionale che non solo ha sequestrato l'infrastruttura ma ha anche disinstallato il malware dai dispositivi infetti.
Durante l'operazione di polizia dello scorso fine settimana, Operation Duck Hunt, l'FBI ha reindirizzato le comunicazioni di rete della botnet ai server sotto il suo controllo, consentendo agli agenti di identificare circa 700.000 dispositivi infetti (200.000 situati negli Stati Uniti).
Dopo aver preso il controllo della botnet, l'FBI ha ideato un metodo per disinstallare il malware dai computer delle vittime, smantellando di fatto l'infrastruttura della botnet, dai PC delle vittime ai computer degli operatori del malware.
Prima di scoprire come l'FBI ha disinstallato Qakbot dai computer, è essenziale capire come è stato distribuito il malware, quale comportamento dannoso ha eseguito e chi lo ha utilizzato.
Qakbot, alias Qbot e Pinkslipbot, è nato come trojan bancario nel 2008, utilizzato per rubare credenziali bancarie, cookie di siti Web e carte di credito per condurre frodi finanziarie.
Tuttavia, nel corso del tempo, il malware si è evoluto in un servizio di distribuzione di malware utilizzato da altri autori di minacce per ottenere l’accesso iniziale alle reti per condurre attacchi ransomware, furto di dati e altre attività informatiche dannose.
Qakbot viene distribuito attraverso campagne di phishing che utilizzano una varietà di esche, inclusi gli attacchi e-mail a catena di risposta, ovvero quando gli autori delle minacce utilizzano un thread di posta elettronica rubato e quindi rispondono con il proprio messaggio e un documento dannoso allegato.
Queste e-mail in genere includono documenti dannosi come allegati o collegamenti per scaricare file dannosi che installano il malware Qakbot sul dispositivo di un utente.
Questi documenti cambiano da una campagna di phishing all'altra e vanno da documenti Word o Excel con macro dannose, file OneNote con file incorporati, allegati ISO con eseguibili e scorciatoie di Windows. Alcuni di essi sono progettati anche per sfruttare le vulnerabilità zero-day di Windows.
Indipendentemente da come viene distribuito il malware, una volta installato Qakbot su un computer, verrà iniettato nella memoria di processi Windows legittimi, come wermgr.exe o AtBroker.exe, per tentare di eludere il rilevamento da parte del software di sicurezza.
Ad esempio, l'immagine seguente mostra il malware Qbot iniettato nella memoria del processo legittimo wermgr.exe.
Una volta che il malware viene lanciato su un dispositivo, cercherà le informazioni da rubare, comprese le e-mail della vittima, da utilizzare in future campagne e-mail di phishing.
Tuttavia, gli operatori di Qakbot hanno anche collaborato con altri autori di minacce per facilitare la criminalità informatica, ad esempio fornendo alle bande di ransomware l’accesso iniziale alle reti aziendali.
In passato, Qakbot ha collaborato con diverse operazioni di ransomware, tra cui Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e, più recentemente, Black Basta e BlackCat/ALPHV.
L’FBI afferma che tra ottobre 2021 e aprile 2023 gli operatori di Qakbot hanno guadagnato circa 58 milioni di dollari dai pagamenti di ransomware.
Nell'annuncio odierno l'FBI afferma di essere riuscita a smantellare la botnet sequestrando l'infrastruttura server dell'aggressore e creando uno speciale strumento di rimozione che ha disinstallato il malware Qakbot dai dispositivi infetti.
Secondo una richiesta di mandato di sequestro rilasciata dal Dipartimento di Giustizia, l'FBI è riuscita ad ottenere l'accesso ai computer amministrativi di Qakbot, aiutando le forze dell'ordine a mappare l'infrastruttura server utilizzata nelle operazioni della botnet.
Sulla base della loro indagine, l'FBI ha stabilito che la botnet Qakbot utilizzava server di comando e controllo Tier-1, Tier-2 e Tier-3, che vengono utilizzati per impartire comandi da eseguire, installare aggiornamenti di malware e scaricare ulteriori payload dei partner sui dispositivi .
I server Tier-1 sono dispositivi infetti con un modulo "supernodo" installato che agiscono come parte dell'infrastruttura di comando e controllo della botnet, alcune delle vittime si trovano negli Stati Uniti. Anche i server Tier-2 sono server di comando e controllo, ma gli operatori Qakbot li gestiscono, solitamente da server noleggiati al di fuori degli Stati Uniti.