.
O Tio Sam disse hoje que um esforço internacional de aplicação da lei desmantelou Qakbot, também conhecido como QBot, um notório botnet e carregador de malware responsável por perdas totalizando centenas de milhões de dólares em todo o mundo, e apreendeu mais de US$ 8,6 milhões em criptomoedas ilícitas.
Em uma coletiva de imprensa na terça-feira anunciando a derrubada, o procurador dos EUA, Martin Estrada, chamou a Operação Duck Hunt, liderada pelo FBI, de “a operação tecnológica e financeira mais significativa já liderada pelo Departamento de Justiça contra uma botnet”. Por um lado, os federais produziram algum software para colocar nas máquinas infectadas pelo Qbot e tornar o malware ineficaz.
Com a ajuda da França, Alemanha, Holanda, Reino Unido, Roménia e Letónia, as autoridades policiais apreenderam nos últimos três dias 52 servidores nos EUA e no estrangeiro usados para manter a rede QBot, “evitando que Qakbot ressuscitasse para causar mais danos adicionais”, disse Estrada.
Qakbot é um malware clássico de botnet do Windows: seus operadores enganam as pessoas – geralmente por meio de anexos de e-mail ou documentos maliciosos do Microsoft Office – para que baixem e executem o software, que pode buscar e executar cargas adicionais de servidores externos e se comunicar com servidores remotos para obter seu instruções para realizar. É um canivete suíço de código malicioso: pode ser usado para criar backdoors em computadores infectados, roubar suas senhas e monitorar as teclas digitadas, desviar fundos de contas bancárias on-line e muito mais.
Isso é funcionalidade do carregador de malware existe desde pelo menos 2008, teve atualizações significativas desde então e tem sido usado para trazer cargas úteis de ransomware para redes infectadas. De acordo com Estrada, cerca de 40 infecções de extortionware via Qbot foram observadas nos últimos 18 meses.
“Esses ataques de ransomware custaram às empresas e entidades governamentais aproximadamente US$ 58 milhões em perdas”, acrescentou. “Você pode imaginar que as perdas foram muitos milhões a mais ao longo da vida do Qakbot.”
Como parte da operação de desmantelamento, os federais identificaram mais de 700 mil computadores infectados em todo o mundo, incluindo cerca de 200 mil na América. Então, a partir de 21 de agosto, o FBI obteve ordens judiciais que lhe permitiam redirecionar o tráfego do Qakbot para servidores controlados por agentes e desativou remotamente o malware nas máquinas das vítimas.
Temporada de caça ao pato
A primeira ordem judicial [PDF]concedida em 21 de agosto, permitiu que as autoridades policiais revistassem máquinas baseadas nos EUA e apreendessem ou copiassem chaves de criptografia, listas de servidores, endereços IP e informações de roteamento usadas pelos administradores do Qakbot, e também colocassem um arquivo contendo software desenvolvido pelo FBI em esses computadores para desinstalar o malware.
“O arquivo fornecerá aos computadores das vítimas novas instruções que os libertarão da botnet Qakbot e impedirão que os administradores do Qakbot se comuniquem ainda mais com os computadores infectados”, de acordo com documentos judiciais. [PDF].
O software também deu ao FBI “a capacidade de reunir evidências sobre a infecção por malware e de coletar endereço IP e informações de roteamento suficientes para identificar o computador da vítima e fornecer notificação ao usuário do computador sobre a busca remota autorizada pelo mandado proposto”. “
O escopo foi limitado às informações instaladas nos computadores das vítimas pelos operadores do Qakbot e não corrigiu nenhum outro malware nos dispositivos, nem concedeu aos federais acesso a outras informações sobre computadores comprometidos, de acordo com o Departamento de Justiça dos EUA.
Dois dias depois, em 23 de agosto, um tribunal concedeu um segundo pedido [PDF] que permitiu que a aplicação da lei pesquisasse computadores atribuídos a endereços IP específicos e mantidos por um provedor específico. Os endereços IP e o nome do provedor foram ocultados nos documentos judiciais.
Este segundo mandado exigia que o provedor entregasse uma tonelada de dados vinculados a esses endereços IP específicos, incluindo comunicações com os computadores que usavam esses endereços; imagens dos sistemas de arquivos desses computadores; e informações e registros relevantes do cliente.
Este mandado também exigia informações relacionadas ao uso de malware e outros meios para obter acesso não autorizado ao computador, os resultados desse acesso, informações relacionadas às vítimas, vítimas potenciais e escutas telefônicas, e qualquer coisa relacionada a carteiras de criptomoedas, pagamentos e esforços de lavagem de dinheiro. .
E finalmente, uma terceira ordem [PDF] permitiu que as autoridades apreendessem 20 carteiras de criptomoedas ligadas ao império Qbot.
Além de apreender US$ 8,6 milhões em pagamentos de ransomware, a Operação Duck Hunt também apreendeu 6,5 milhões de credenciais que os operadores de Qakbot também roubaram de vítimas nos EUA, e “nossos parceiros internacionais estão identificando muitos milhões mais”, disse Estrada.
A aplicação da lei está notificando as vítimas sobre a coleta de credenciais e trabalhando com as pessoas para ajudá-las recuperar fundos roubado pelos bandidos.
“Acreditamos que isso efetivamente colocará os grupos criminosos Qakbot fora do mercado”, disse Donald Alway, diretor assistente encarregado do escritório de campo do FBI em Los Angeles.
As agências policiais dos EUA recusaram-se a identificar quaisquer indivíduos específicos por trás da infraestrutura Qakbot, citando a investigação em curso, e ainda não fizeram quaisquer detenções relacionadas com a botnet. ®
.
