Την προηγούμενη εβδομάδα, το FBI ανακοίνωσε ότι εξάρθρωσε την πολυεθνική επιχείρηση hacking στον κυβερνοχώρο και ransomware του Qakbot (που αναφέρεται επίσης ως Qbot), η οποία επηρέασε 700.000 υπολογιστές σε όλο τον κόσμο – συμπεριλαμβανομένων χρηματοπιστωτικών ιδρυμάτων, κυβερνητικών εργολάβων και κατασκευαστών ιατρικών συσκευών. Το κακόβουλο λογισμικό Qakbot μόλυνε τα θύματα μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου spam με κακόβουλα συνημμένα αρχεία, συνδέσμους και χρησίμευε ως πλατφόρμα για τους χειριστές ransomware. Με τη μόλυνσή του, ο υπολογιστής των θυμάτων γινόταν μέρος της μεγαλύτερης επιχείρησης botnet του Qakbot, μολύνοντας ακόμη περισσότερα θύματα. Η Check Point Research (CPR) δημοσίευσε τα διαθέσιμα στοιχεία της σχετικά με τις μεθόδους επίθεσης του QBot το 2020.
Το Mid-Year Security Report της Check Point για το 2023 παρέχει πρόσθετες λεπτομέρειες σχετικά με το Qakbot, όπως:
- Το Qakbot είναι το πιο συχνά ανιχνευόμενο κακόβουλο λογισμικό, με το 11% των εταιρικών δικτύων παγκοσμίως να έχουν επηρεαστεί το 1ο εξάμηνο του ’23.
- Το Qakbot είναι ένα κακόβουλο λογισμικό πολλαπλών χρήσεων, που μοιάζει με ελβετικό σουγιά. Επιτρέπει στους εγκληματίες του κυβερνοχώρου να κλέβουν άμεσα δεδομένα (διαπιστευτήρια για οικονομικούς λογαριασμούς, κάρτες πληρωμών κ.λπ.) από υπολογιστές, ενώ παράλληλα χρησιμεύει ως πλατφόρμα αρχικής πρόσβασης για τη μόλυνση των δικτύων των θυμάτων με πρόσθετο κακόβουλο λογισμικό και ransomware.
- Το Qakbot διανέμεται κυρίως μέσω ηλεκτρονικών μηνυμάτων phishing και είναι ιδιαίτερα προσαρμοστικό και ευέλικτο, επιτρέποντάς του να παρακάμπτει τα μέτρα ασφαλείας. Χρησιμοποιεί τύπους αρχείων όπως OneNote, PDF , HTML, ZIP, LNK και άλλα για να μολύνει μηχανήματα
Μέχρι στιγμής, το 2023, το 45% των επιθέσεων ransomware ήταν εναντίον οργανισμών με έδρα τις ΗΠΑ. Η μεταποίηση, το λιανικό εμπόριο και το λογισμικό ήταν οι κλάδοι που αποτέλεσαν τον μεγαλύτερο στόχο για ransomware.
Ο Sergey Shykevich, Threat Intelligence Manager στην Check Point Research δήλωσε σχετικά:
Παρακολουθούμε το Qakbot εδώ και καιρό και αυτή η επιχείρηση κατάργησης είναι ένα σημαντικό βήμα για τη διακοπή μιας μεγάλης επιχείρησης εγκλήματος στον κυβερνοχώρο. Επικροτούμε το FBI και τους συνεργάτες του και θα συνεχίσουμε να παρακολουθούμε τον μακροπρόθεσμο αντίκτυπο με τους εγκληματίες του κυβερνοχώρου. Μένει να δούμε αν ήταν μια πλήρης κατάρριψη ή αν οι χειριστές θα επιστρέψουν – και προτρέπουμε όλους να συνεχίσουν τις εκστρατείες ευαισθητοποίησης σχετικά με το phishing, να ενημερώνονται για τα patches ασφαλείας και να αξιοποιούν τις κατάλληλες λύσεις κατά του ransomware.