Oficiali americani au declarat marti ca FBI si partenerii sai europeni s-au infiltrat si au preluat controlul asupra unei retele globale majore de malware, folosita de mai bine de 15 ani pentru a comite o gama larga de crime online, inclusiv atacuri de ransomware paralizante.
Apoi au eliminat de la distanta agentul software rau intentionat, cunoscut sub numele de Qakbot, de pe mii de computere infectate.
Expertii in securitate cibernetica au spus ca au fost impresionati de dezmembrarea inteligenta a retelei, dar au avertizat ca orice regres la criminalitatea cibernetica va fi probabil temporara.
„Aproape intotdeauna un sector al economiei a fost victimizat de Qakbot”, a declarat marti Martin Estrada, avocatul american din Los Angeles, anuntand eliminarea. El a spus ca reteaua criminala a facilitat doar aproximativ 40 de atacuri ransomware in decurs de 18 luni, despre care anchetatorii spun ca le-au adus administratorilor Qakbot aproximativ 58 de milioane de dolari.
Victimele ransomware-ului Qakbot au inclus o firma de inginerie din Illinois, organizatii de servicii financiare din Alabama si Kansas, impreuna cu un producator de aparare din Maryland si o companie de distributie de alimente din California de Sud, a spus Estrada.
Oficialii au spus ca 8,6 milioane de dolari in moneda cibernetica au fost confiscate sau inghetate, dar nu au fost anuntate arestari.
Estrada a spus ca ancheta este in curs. El nu a spus unde erau localizati administratorii malware-ului, care a grupat masinile infectate intr-o retea botnet de computere zombie. Cercetatorii in securitate cibernetica spun ca se crede ca se afla in Rusia si/sau in alte foste state sovietice.
Oficialii au estimat ca asa-numitul malware loader, un cutit digital elvetian pentru infractorii cibernetici, cunoscut si sub numele de Pinkslipbot si Qbot, a fost folosit pentru a provoca pagube de sute de milioane de dolari de cand a aparut pentru prima data in 2008 ca troian bancar care fura informatii. Ei au spus ca milioane de oameni din aproape fiecare tara din lume au fost afectati.
Livrat de obicei prin infectii prin e-mail de tip phishing, Qakbot a oferit hackerilor criminali acces initial la computerele incalcate. Ei ar putea apoi sa implementeze incarcaturi suplimentare, inclusiv ransomware, sa fure informatii sensibile sau sa colecteze informatii despre victime pentru a facilita frauda financiara si infractiuni, cum ar fi asistenta tehnologica si escrocherii romantice.
Reteaua Qakbot „alimenta literalmente lantul global de aprovizionare a criminalitatii cibernetice”, a declarat Donald Alway, director adjunct responsabil cu biroul FBI din Los Angeles, numind-o „unul dintre cele mai devastatoare instrumente pentru criminalitate cibernetica din istorie”. Cel mai frecvent malware detectat in prima jumatate a anului 2023, Qakbot a afectat una din 10 retele corporative si a reprezentat aproximativ 30% din atacurile la nivel global, au descoperit o pereche de firme de securitate cibernetica. Astfel de instrumente de „acces initial” permit grupurilor de ransomware extortionist sa sara peste pasul initial de penetrare a retelelor de computere, facandu-le facilitatori majori pentru criminalii indepartati, in mare parte vorbitori de limba rusa, care au facut ravagii prin furtul de date si perturbarea scolilor, spitalelor, guvernelor locale. si afaceri din intreaga lume.
Incepand de vineri, intr-o operatiune numita „Vanatoarea de rata”, FBI-ul impreuna cu Europol si partenerii de aplicare a legii si justitie din Franta, Regatul Unit, Germania, Tarile de Jos, Romania si Letonia au confiscat peste 50 de servere Qakbot si au identificat peste 700.000 de persoane infectate. computere, mai mult de 200.000 dintre ele in SUA – retinand efectiv criminalii din cariera lor.
Apoi, FBI a folosit infrastructura Qakbot confiscata pentru a trimite de la distanta actualizari care au sters malware-ul de pe mii de computere infectate. Un oficial inalt al FBI, care le-a informat reporterilor cu conditia ca acesta sa nu fie mai identificat, a numit acest numar „fluid” si a avertizat ca este posibil sa fi ramas alte programe malware pe masinile eliberate de Qakbot.
A fost cel mai mare succes al FBI impotriva infractorilor cibernetici de cand a „piratat hackerii” cu eliminarea din ianuarie a prolificului grup de ransomware Hive.
„Este o eliminare impresionanta. Qakbot a fost cel mai mare botnet” ca numar de victime, a declarat Alex Holden, fondatorul Hold Security cu sediul in Milwaukee. Dar el a spus ca este posibil sa fi fost o victima a propriului succes in cresterea sa uluitoare din ultimii cativa ani. “Marele botnet astazi. tind sa explodeze, deoarece prea multi actori amenintari extrag aceste date pentru diferite tipuri de abuz.”
Expertul in securitate cibernetica Chester Wisniewski de la Sophos a fost de acord ca, desi ar putea exista o scadere temporara a atacurilor ransomware, se poate astepta ca infractorii fie sa revigoreze infrastructura in alta parte, fie sa se mute la alte retele bot.
„Acest lucru va provoca multe perturbari unor bande pe termen scurt, dar nu va face nimic din cauza repornirii sale”, a spus el. „Desi este nevoie de mult timp pentru a recruta 700.000 de PC.”
