Oficialii americani au declarat marți că FBI și partenerii săi europeni s-au infiltrat și au preluat controlul asupra unei rețele globale majore de malware, folosită de mai bine de 15 ani pentru a comite o gamă largă de crime online, inclusiv atacuri paralizante de ransomware, conform Associated Press.
Agentii au eliminat de la distanță agentul software rău intenționat – cunoscut sub numele de Qakbot – de pe mii de computere infectate.
Experții în securitate cibernetică au spus că au fost impresionați de dezmembrarea abilă a rețelei, dar au avertizat că orice regres la criminalitatea cibernetică ar fi probabil temporară.
„Aproape întotdeauna un sector al economiei a fost victima Qakbot”, a declarat marți Martin Estrada, avocatul american din Los Angeles, care a anunțat operațiunea. El a spus că rețeaua criminală a facilitat doar aproximativ 40 de atacuri ransomware în decurs de 18 luni, despre care anchetatorii spun că le-au adus administratorilor Qakbot aproximativ 58 de milioane de dolari.
Oficialii au spus că 8,6 milioane de dolari în monedă cibernetică au fost confiscate sau înghețate, dar nu au fost anunțate arestări.
Estrada a spus că ancheta este în curs. El nu a spus unde erau localizați administratorii malware-ului, care a grupat mașinile infectate într-o rețea botnet de computere zombie. Cercetătorii în securitate cibernetică spun că se crede că se află în Rusia și/sau în alte foste state sovietice.
Oficialii au estimat că așa-numitul malware loader, un „cuțit digital” pentru infractorii cibernetici, cunoscut și sub numele de Pinkslipbot și Qbot, a fost folosit pentru a provoca pagube de sute de milioane de dolari de când a apărut pentru prima dată în 2008 ca troian bancar care fură informații. Ei au spus că milioane de oameni din aproape fiecare țară din lume au fost afectați.
Livrat de obicei prin infecții prin e-mail de tip phishing, Qakbot a oferit hackerilor criminali acces inițial la computerele afectate. Ei ar putea apoi să implementeze încărcături suplimentare, inclusiv ransomware, să fure informații sensibile sau să colecteze informații despre victime pentru a facilita frauda financiară și infracțiuni, cum ar fi asistența tehnologică și escrocherii romantice.
Rețeaua Qakbot „alimenta literalmente lanțul global de aprovizionare a criminalității cibernetice”, a declarat Donald Alway, director adjunct responsabil cu biroul FBI din Los Angeles, numind-o „unul dintre cele mai devastatoare instrumente pentru criminalitate cibernetică din istorie”.
Cel mai frecvent malware detectat în prima jumătate a anului 2023, Qakbot a afectat una din 10 rețele corporative și a reprezentat aproximativ 30% din atacurile la nivel global, conform cercetărilor mai multor firme de securitate cibernetică. Astfel de instrumente de „acces inițial” permit grupurilor de ransomware de tip șantaj să sară peste pasul inițial de penetrare a rețelelor de computere, făcându-le facilitatori majori pentru criminalii îndepărtați, în mare parte vorbitori de limbă rusă, care au făcut ravagii prin furtul de date și perturbarea școlilor, spitalelor, guvernelor locale și afaceri din întreaga lume.
Începând de vineri, într-o operațiune numită „Vânătoarea de rațe”, FBI-ul împreună cu Europol și partenerii de aplicare a legii și justiției din Franța, Regatul Unit, Germania, Țările de Jos, România și Letonia au confiscat peste 50 de servere Qakbot și au identificat peste 700.000 de persoane infectate dar și computere, mai mult de 200.000 dintre ele în S.U.A. – retrăgând efectiv criminalii din cariera lor.
Apoi, FBI a folosit infrastructura Qakbot confiscată pentru a trimite de la distanță actualizări care au șters malware-ul de pe mii de computere infectate. Un oficial înalt al FBI, care le-a informat reporterilor cu condiția ca acesta să nu fie identificat în continuare, a numit acest număr „fluid” și a avertizat că este posibil să fi rămas alte programe malware pe mașinile eliberate de Qakbot.