Министерство юстиции США объявило о проведении многонациональной операции, включающей действия в США, Франции, Германии, Нидерландах, Великобритании, Румынии и Латвии с целью вывести из строя ботнет и вредоносное ПО, известное как Qakbot, а также вывести из строя его инфраструктуру, сообщают Украинские ведомости со ссылкой на Минюст Соединенных штатов

Вредоносное ПО Qakbot заразило более 700 000 компьютеров жертв, способствовало внедрению программ-вымогателей и нанесло ущерб на сотни миллионов долларов по всему миру

 Вредоносный код Qakbot удаляется с компьютеров жертв, чтобы он не мог нанести еще больший вред. Департамент также объявил об изъятии примерно $8,6 млн в криптовалюте, полученной незаконными доходами.

Эта акция представляет собой крупнейший финансовый и технический сбой под руководством США в инфраструктуре бот-сетей, которую киберпреступники используют для совершения программ-вымогателей, финансового мошенничества и другой преступной деятельности с использованием кибербезопасности.

«Киберпреступникам, которые полагаются на такие вредоносные программы, как Qakbot, для кражи личных данных невинных жертв, сегодня напомнили, что они не действуют вне рамок закона», — заявил генеральный прокурор Меррик Б. Гарланд. «Вместе с нашими международными партнерами Министерство юстиции взломало инфраструктуру Qakbot, начало агрессивную кампанию по удалению вредоносного ПО с компьютеров жертв в США и по всему миру и конфисковало вымогательство на сумму 8,6 миллиона долларов».

Согласно судебным документам, Qakbot, также известный под другими названиями, в том числе «Qbot» и «Pinkslipbot», контролируется киберпреступной организацией и используется для атак на критически важные отрасли по всему миру.

Вредоносное ПО Qakbot в основном заражает компьютеры жертв через спам-сообщения электронной почты, содержащие вредоносные вложения или гиперссылки. После заражения компьютера-жертвы Qakbot может доставить на зараженный компьютер дополнительные вредоносные программы, в том числе программы-вымогатели.

В последние годы Qakbot использовался в качестве первоначального средства заражения многими многочисленными группами вымогателей, включая Conti, ProLock, Egregor, REvil, MegaCortex и Black Basta. Затем злоумышленники вымогают деньги у своих жертв, требуя выкуп в биткойнах, прежде чем вернуть жертве доступ к компьютерным сетям. Эти группы программ-вымогателей нанесли значительный ущерб бизнесу.

Компьютеры-жертвы, зараженные вредоносным ПО Qakbot, являются частью ботнета, представляющего собой сеть зараженных компьютеров, что означает, что злоумышленники могут скоординировано удаленно управлять всеми зараженными компьютерами. Владельцы и операторы компьютеров-жертв обычно не подозревают о заражении.

«Международное партнерство под руководством Министерства юстиции и ФБР привело к ликвидации Qakbot, одного из самых печально известных ботнетов за всю историю, ответственного за огромные потери среди жертв по всему миру», — заявил прокурор США Мартин Эстрада в Центральном округе Калифорнии.

«Qakbot был бот-сетью, которую выбрали некоторые из самых печально известных банд, занимающихся вымогательством, но теперь мы устранили его. Эта операция также привела к конфискации почти 9 миллионов долларов в криптовалюте у киберпреступной организации Qakbot, которая теперь будет доступна жертвам. Целью моего офиса является защита и отстаивание прав жертв, и эта многогранная атака на преступления с использованием компьютеров демонстрирует нашу приверженность защите нашей нации от вреда».

В рамках устранения ФБР смогло получить доступ к инфраструктуре Qakbot и идентифицировать более 700 000 компьютеров по всему миру, в том числе более 200 000 в США, которые, по всей видимости, были заражены Qakbot.

Чтобы вывести из строя ботнет, ФБР смогло перенаправить трафик ботнета Qakbot на и через серверы, контролируемые ФБР, которое, в свою очередь, проинструктировало зараженные компьютеры в США и других странах загрузить созданный правоохранительными органами файл, который удалит вредоносное ПО Qakbot. Этот деинсталлятор был разработан для того, чтобы отсоединить компьютер жертвы от ботнета Qakbot, предотвращая дальнейшую установку вредоносного ПО через Qakbot.

Сфера действия правоохранительных органов ограничивалась информацией, установленной на компьютерах жертв участниками Qakbot. Оно не распространялось на устранение других вредоносных программ, уже установленных на компьютерах жертв, и не включало доступ или изменение информации владельцев и пользователей зараженных компьютеров.

Ценную техническую помощь оказал Zscaler. ФБР установило партнерские отношения с Агентством кибербезопасности и безопасности инфраструктуры, Shadowserver, подразделением Microsoft по борьбе с цифровыми преступлениями, Национальным альянсом киберкриминалистики и обучения и организацией Have I Been Pwned, чтобы помочь в уведомлении жертв и возмещении ущерба.

Операцию в тесном сотрудничестве с Евроюстом провели полевое отделение ФБР в Лос-Анджелесе, прокуратура США по Центральному округу Калифорнии и отдел по компьютерным преступлениям и интеллектуальной собственности (CCIPS) Управления по уголовным делам. Решающую помощь оказали следователи и прокуроры из нескольких юрисдикций, в том числе Европола, Центрального бюро полиции Франции по борьбе с киберпреступностью и отдела по борьбе с киберпреступностью парижской прокуратуры, Федеральной уголовной полиции Германии и Генеральной прокуратуры Франкфурта-на-Майне, Национальной полиции Нидерландов и Национальной прокуратуры. Национальное агентство по борьбе с преступностью Соединенного Королевства, Национальная полиция Румынии и Государственная полиция Латвии. Значительную помощь оказали Управление по международным делам Министерства юстиции и полевое отделение ФБР в Милуоки.