Poliția și DIICOT colaborează cu americanii pentru destructurarea programului malware Qackbot. Ce răscumpărări cer hackerii

Poliția Română, împreună cu procurorii DIICOT, a pus în executare o cerere de asistență judiciară internațională, emisă de către autoritățile din SUA. Activitatea a vizat destructurarea unei părți din infrastructura programului informatic de tip malware, denumit Qackbot (Qbot). Acest malware prolific, activ din 2007 (cunoscut și sub numele de QBot sau Pinkslipbot) a evoluat de-a lungul timpului, folosind diferite tehnici pentru a infecta utilizatorii și a compromite sisteme informatice.

Malware-ul Qakbot era infiltrat în computerele victimelor prin e-mailuri de tip spam, care conțineau atașamente sau hyperlinkuri malițioase.

Datele financiare erau cele mai vânate

Odată instalat pe computerul vizat, malware-ul avea ca scop infectarea acestuia cu programe informatice precum Cobalt Strike sau alte tipuri de ransomware.  În plus, computerul infectat devenea parte dintr-o rețea botnet (o rețea de computere compromise) controlată simultan de infractorii cibernetici, de obicei fără știrea victimelor. Cu toate acestea, obiectivul principal al Qakbot ar fi fost furtul datelor financiare și al credențialelor de conectare din browserele web.

Cum acționează Qackbot

Modul de funcționare al malware-ului Qackbot presupune următoarea succesiune de pași:

• Victima primea un e-mail cu un atașament sau un hyperlink pe care îl accesa;
• Ulterior, sistemul informatic vizat începea să descarce malware-ul Qackbot, imitând procese legitime;
• În urma descărcării malware-ului Qackbot, acesta ar fi fost instalat pe calculator, ulterior fiind descărcate alte programe de tip malware, precum troieni bancari;
• Atacatorul ar fi furat apoi date financiare, credențiale de logare, etc;
• În final, alte programe malițioase, spre exemplu programe ransomware, ar fi fost instalate pe calculatorul victimei.

Familii cunoscute de ransomware precum Conti, ProLock, Egregor, REvil, MegaCortex și Black Basta ar fi folosit Qakbot pentru a efectua un număr mare de atacuri ransomware asupra unor infrastructuri critice sau asupra mai multor societăți comerciale. Administratorii rețelei bot ar fi oferit acestor grupuri de ransomware acces la rețelele infectate, contra cost, această metodă fiind cunoscută și ca maas (malware as a service).

Răscumpărări de zeci de milioane de euro

Din investigațiile efectuate a rezultat că, în perioada octombrie 2021 – aprilie 2023, administratorii ar fi primit aproape 54 de milioane de euro din răscumpărările care au fost plătite de victime.

Din analiza infrastructurii confiscate a rezultat că malware-ul ar fi infectat peste 700.000 de computere din întreaga lume, iar autoritățile au detectat servere infectate cu Qakbot în aproape 30 de țări din Europa, America de Sud și de Nord, Asia și Africa, permițând activitatea malware-ului la scară globală.