美国政府和国际合作伙伴刚刚解决了一个令人头疼的网络难题:QakBot。多年来,这种恶意软件一直是企业和机构的心腹大患。这只有组织的国际力量不仅将QakBot关闭,还设法追回了数百万美元的损失资金。
历史上,联邦调查局(FBI)和网络安全基础设施安全局(CISA)在应对这些有组织的威胁方面要么效率低下,要么保持沉默。
为勒索软件打开大门的特洛伊木马QakBot
自2008年以来,QakBot一直是网络黑社会中臭名昭著的玩家,最初作为银行木马推出,但随着时间的推移,它发生了变化,成为各种网络犯罪团伙最喜欢的工具。他们的目标是破坏网络以进行严重的勒索软件攻击。但QakBot是如何发挥其黑暗魔法的呢?它通常从欺骗收件人的欺骗性电子邮件开始,这些邮件看起来合法且有时效性,就像发票或工作订单一样。
这些电子邮件中嵌入了链接、附件,或者最近嵌入了包含恶意代码的图像。这些是“有效载荷”,也是真正的危险。如果有人在不知情的情况下点击了链接或图像,或下载了附件,QakBot就会开始运行,并渗透到该人的系统中。
安装后,QakBot与其命令与控制(C2)服务器通信以接收指令和更新。然后,QakBot就会扫描设备和网络以获取有价值的信息,例如凭据、银行详细信息或用户帐户。然后,QakBot可以窃取或泄露其收集的数据,或者利用这些数据通过发送勒索软件或恶意软件进一步发动攻击。
“Duck Hunt”行动
加利福尼亚州南区美国检察官马丁·埃斯特拉达(Martin Estrada)在最近于洛杉矶举行的新闻发布会上毫不讳言,他宣称针对QakBot的行动是“司法部有史以来针对僵尸网络开展的最重要的技术和金融行动”
埃斯特拉达称有数据支持这一说法:QakBot在过去18个月内与40起不同的勒索软件攻击有关,造成了5800万美元的惊人损失。
这次行动被生动地命名为“Duck Hunt”,美国司法部和联邦调查局携手合作,获得法院命令,不仅获得了删除恶意软件的法庭命令,而且还夺取了服务器的控制权,控制了这个邪恶的僵尸网络。
FBI洛杉矶办事处的唐·阿尔韦(Don Alway)透露,联邦调查局已经能够访问该僵尸网络的在线控制面板,从而能够指示所有受感染的系统切断与QakBot的联系,并清除其影响力。
QakBot的巨大影响力
恶意软件QakBot活动的规模之大令人发指。仅去年一年,QakBot就侵入了超过70万台机器,其中超过20万台位于美国。
美国司法部在此次行动中开展国际合作,在七个国家查获了与该恶意软件连接的50多台互联网服务器,并从QakBot背后的策划者手中没收了约950万美元的加密货币。