30/08/2023

Федеральные следователи уничтожили преступную сеть программ-вымогателей, которая, за время своего существования нанесла многомиллионный ущерб, объявило Министерство юстиции США.

ФБР и европейские партнёры взломали ботнет Qakbot. Эта группа компьютеров, заражённых вредоносной программой, которая использовалась для проведения кибератак. Сейчас специалисты работают над отключением программы на тысячах компьютеров-жертв, сообщили представители спецслужб, сообщает CBS News.

Получившая название «Операция "Утиная охота"» попытка уничтожить систему ботнета также привела к изъятию 8,6 млн долларов в криптовалюте. Эти средства были собраны в ходе преступных кампаний по вымогательству.

По данным Министерства юстиции США, общее число жертв Qakbot составило 700 тыс. человек, из них около 200 тыс. проживают в США. Жертвами хакеров стали правительственные учреждения, компании малого и среднего бизнеса, поставщики медицинских услуг и стратегические предприятия. Представители правоохранительных органов заявили, что они всё ещё пытаются определить, какое количество из всех ранее заражённых компьютеров освобождено от контроля Qakbot.

Следователи утверждают, что Qakbot, также известный как Qbot и Pinkslipbot, активен с 2008 года и изначально действовал как банковский троян. Qakbot стал начальной точкой входа для многих ransomware, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. По словам официальных лиц, эти преступные группировки, вероятно, пострадали в результате недавней операции ФБР.

Ботнет использовался хакерами по всему миру для удержания компьютерных систем в заложниках до момента получения выкупа. Qakbot получал доступ к устройствам через спам-письма, содержащие вредоносные ссылки, встроенные в сообщения. Такие ботнеты незаметно захватывают контроль над компьютером и скоординировано работают для совершения предполагаемых преступлений, заявили следователи.

По словам высокопоставленных чиновников ФБР и Министерства юстиции, в рамках операции «Утиная охота» ФБР получило доступ к инфраструктуре Qakbot и «перенаправило» киберактивность на серверы, контролируемые американскими следователями. Специалисты смогли внедрить вредоносное ПО с помощью программы, которая вывела компьютер жертвы из ботнета, освободив его от вредоносного хоста.

Операция была успешной благодаря тесному партнерству со следователями из Франции, Германии, Нидерландов, Великобритании, Румынии и Латвии. В результате международного расследования никто не был арестован, но были изъяты 52 сервера. Полиция Нидерландов, где было захвачены 22 сервера, нашла на них 7,6 млрд учётных данных. Компьютерные серверы также были отключены от сети во Франции (6) и Германии (8). Расследование продолжается.

Представители правоохранительных органов подчёркивают, что помимо коммерческих убытков, связанных с киберкампаниями Qakbot, на карту были поставлены национальные интересы многих стран, поскольку группы вымогателей нацеливались на больницы и критически важные объекты инфраструктуры, которые жизненно важны для национальной безопасности.

Методы уничтожения Qakbot представляют собой новый подход, который пыталось внедрить правительство: не только разрушать преступные сети, но и вооружать жертв инструментами, необходимыми для противодействия атаке вредоносного ПО, отметили в ФБР. Инструмент удаления был одобрен судьёй с многочисленными оговорками — только для удаления вредоносного ПО с заражённых устройств.

Спецслужбы Голландии считают тесное сотрудничество специалистов предпосылкой успеха в борьбе с киберпреступностью. К расследованию дела в Нидерландах привлечены Национальная прокуратура и группа Национального отдела по борьбе с преступлениями в сфере высоких технологий, государственные и частные компании, в том числе Fox-IT, Northwave, Национальный центр кибербезопасности и NFIR.