Qakbot addio: l'FBI smantella la botnet di 700 mila computer usata per campagne ransomware
Una delle botnet più vaste e longeve del web è stata messa in ginocchio dall'operazione Duck Hunt, coordinata dall'FBI e con la collaborazione delle forze dell'ordine internazionali
di Andrea Bai pubblicata il 30 Agosto 2023, alle 15:01 nel canale SicurezzaL'FBI ha smantellato la botnet Qakbot, una tra le più vaste e longeve, grazie all'operazione "Duck Hunt" che ha visto il coinvolgimento di altre agenzie di sicurezza internazionale. Qakbot ha rappresentato nel corso degli anni il vettore di ingresso per gruppi ransomware come i notissimi e famigerati Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e Black Basta.
La nascita e l'evoluzione di Qakbot
La botnet, conosciuta anche come Qbot o Pinkslipbot, è risultata essere composta da almeno 700 mila sistemi compromessi, dei quali oltre 200 mila negli Stati Uniti. Si tratta di una minaccia nata originariamente nel 2008 in forma di trojan bancario, utilizzato per rubare credenziali di accesso bancarie, cookie di siti web e numeri di carte di credito al fine di perpetrare frodi finanziarie.
Nel corso del tempo però il malware si è evoluto, diventando un servizio di distribuzione di altri malware e utilizzato in particolare da altri aggressori per ottenere l'accesso iniziale alle reti prese di mira, così da condurre attacchi ransomware, furti di dati e altre attività criminali.
La sua distribuzione è avvenuta tramite campagne di phishing con l'impiego di varie esche, inclusi attacchi "reply-chain" in cui gli attori delle minacce utilizzano un thread di email rubate a cui rispondono inserendo il proprio messaggio e un documento allegato compromesso. Normalmente questi documenti sono file Word, Excel o OneNote, oppure ancora ISO con eseguibili e collegamenti Windows. I documenti cambiano tra le varie campagne di phishing e alcuni sono progettati appositamente per sfruttare le vulnerabilità 0-day di Windows.
Quando Qakbot viene installato su un computer, e questo avviene quando l'utente apre il file compromesso, esso va ad iniettarsi nella memoria di processi Windows legittimi con l'obiettivo di evitare il rilevamento da parte dei software di sicurezza. Una volta avviato e passato inosservato Qakbot passa in rassegna le informazioni da rubare, comprese le email della vittima per recuperare indirizzi da utilizzare in ulteriori campagne di phishing.
Qakbot è stata sfruttata in almeno 40 attacchi ransomware contro aziende, strutture sanitarie e agenzie governative nel mondo, per un danno stimato complessivo nell'ordine dei centinaia di milioni di dollari: l'FBI afferma che solamente tra ottobre 2021 e aprile 2023, gli operatori di Qakbot hanno guadagnato circa 58 milioni di dollari dai pagamenti di riscatti.
Il direttore dell'FBI Christopher Wray ha commentato: "Le vittime spaziavano da istituzioni finanziarie della East Coast a un'azienda appaltatrice di infrastrutture critiche nel Midwest, fino a un produttore di dispositivi medicali sulla West Coast. Questa botnet forniva ai criminali informatici un'infrastruttura di comando e controllo composta da centinaia di migliaia di computer, utilizzati per attacchi contro obiettivi in tutto il mondo".
Il funzionamento e la struttura della botnet Qakbot
Nel corso delle indagini l'FBI è riuscita a scoprire che la botnet faceva uso di server command&control su tre diversi livelli (Tier 1, 2 e 3) utilizzati per inviare comandi da remoto, installare aggiornamenti del malware e recapitare ulteriori payload.
In particolare nei server Tier 1 rientrano i dispositivi infetti in cui è installato un modulo "supernodo" che li rende parte dell'infrastruttura di comando e controllo mentre i server Tier 2 sono invece macchine di comando e controllo gestiti direttamente dagli operatori Qakbot. Entrambi questi livelli sono utilizzati per inoltrare comunicazioni cifrate con i server Tier 3, che a loro volta sono le macchine "centrali" per l'emissione di comandi da eseguire, moduli da scaricare e malware da installare provenienti dai gruppi che utilizzano la botnet come strumento di diffusione dei propri ransomware.
Il malware Qakbot presente sui dispositivi infetti comunicava periodicamente, ad intervalli di pochi minuti, con un elenco di server Tier 1 così da stabilire una comunicazione cifrata con un server Tier 3 per ricevere comandi da eseguire o payload da installare.
L'FBI è riuscita a smantellare Qakbot infiltrandosi nell'infrastruttura della botnet ed in particolare in un computer usato da un amministratore di Qakbot. Stando ai dettagli contenuti nella documentazione depositata in tribunale, le forze dell'ordine hanno individuato su questo computer numerosi file relativi al funzionamento della botnet, comprese chat tra gli amministratori e dossier su portafogli di criptovalute. Tra questi anche un file denominato 'payments.txt', contenente un elenco di vittime di ransomware con dettagli sui gruppi responsabili, le macchine colpite, le date e le somme in bitcoin pagate agli amministratori di Qakbot. Oltre a queste informazioni, l'FBI ha potuto recuperare anche le chiavi crittografiche utilizzate per le comunicazioni tra i server.
L'operazione Duck Hunt e lo smantellamento di Qakbot
L'operazione Duck Hunt, coordinata dall'ufficio di Los Angeles dell'FBI, dall'ufficio del procuratore degli Stati Uniti per il distretto centrale della California e dalla sezione Crimine Informatico del Dipartimento di Giustizia (CCIPS), in cooperazione con Eurojust, ha visto il coinvolgimento, assieme all'FBI, dell'Europol, del National Crime Agency britannico e delle forze di polizia di Francia, Germania, Paesi Bassi, Romania e Lettonia.
Venerdì 25 agosto il traffico di Qakbot è stato dirottato verso server
che l'FBI ha potuto controllare sfruttando le chiavi di cifratura
recuperate dall'infrastruttura della botnet. E' stato di conseguenza
possibile sfruttare e controllare un dispositivo infetto per contattare
ogni server Tier 1 e sostituire il modulo "supernodo" di Qakbot con uno
appositamente creato dall'FBI stessa e facente uso di differenti chiavi
crittografiche ignote agli operatori di Qakbot. In questo modo gli
operatori sono stati tagliati fuori dalla loro stessa infrastruttura di
comando e controllo, non avendo più alcun modo di comunicare con i server
Tier 1.
L'FBI ha quindi creato una speciale DLL Windows che fungeva da strumento di rimozione e che è stato inviato ai dispositivi infetti dai server Tier 1. Questa DLL conteneva un comando che di fatto ha arrestato l'esecuzione di Qakbot sui dispositivi infetti.
L'FBI ha informato le vittime solamente a seguito dell'operazione di bonifica dei sistemi, utilizzando gli indirizzi IP rilevati su di essi e sfruttati per la distribuzione dello strumento di rimozione. Il Dipartimento di Giustizia sottolinea che l'operazione si è limitata a rimuovere quanto installato da Qakbot, senza accedere ai dati degli utenti o rimuovere altri malware. La notifica alle vittime è stata resa possibile con la collaborazione di CISA, Shadowserver, Microsoft Digital Crimes Unit, National Cyber Forensics and Training Alliance e Have I Been Pwned.
Il procuratore Martin Estrada ha commentato: "Qakbot era la botnet prediletta dai più famigerati gruppi ransomware, ma ora l'abbiamo eliminata. L'operazione ha portato anche al sequestro di quasi 9 milioni di dollari in criptovalute dell'organizzazione criminale, che saranno messi a disposizione delle vittime".
Nonostante in questo modo l'infrastruttura della botnet sia di fatto stata resa inutilizzabile, l'operazione non ha ancora condotto ad alcun arresto. E' quindi possibile, se non addirittura probabile, che la mano dietro a Qakbot si rimetta al lavoro per ricostruire una nuova infrastruttura sfruttando come d'abitudine campagne di phishing o annettendo altre botnet già esistenti.
6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoEd è un vero peccato, 50 anni a spaccare sassi sotto ad un sole di rame sarebbe stata la "cura ideale" per certi soggetti.
Io sarei più propenso a farli contare i granelli di sabbia nel deserto, quando hanno finito possono andare a casa.
Una delle botnet più vaste e longeve del web è stata messa in ginocchio dall'operazione Duck Hunt, coordinata dall'FBI e con la collaborazione delle forze dell'ordine internazionali
Peccato!.. una ricca "proprietà intellettuale" andata in fumo!
L'unica cosa positiva potrebbe essere se i 9 milioni venissero veramente messi a disposizione delle vittime. Qui da noi dubito sarebbe mai successo.
L'unica cosa positiva potrebbe essere se i 9 milioni venissero veramente messi a disposizione delle vittime. Qui da noi dubito sarebbe mai successo.
E invece sbagli visto che c'è un fondo apposito dove confluiscono tutte le somme sequesrate e che poi vengono date alle eventuali vittime del reato che hanno subito il danno economico
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".