FBI derruba rede com 700 mil computadores que era usada para ransomware
Agentes se infiltraram na infraestrutura da Qakbot para desinstalar malware de máquinas infectadas; grupo estava na ativa desde 2008
Uma operação multinacional liderada pelo FBI derrubou a botnet Qakbot. A rede de computadores infectados esteve ligada a mais de 40 ataques de ransomware, que afetaram empresas, instituições de saúde e agências governamentais. Estima-se que, nos últimos 18 meses, ela tenha causado um prejuízo de cerca de US$ 58 milhões.
A Qakbot infectou mais de 700 mil computadores, sendo mais de 200 mil só nos EUA. Ao longo de anos, a rede (também conhecida como Qbot e Pinkslipbot) serviu de vetor inicial de infecção para várias quadrilhas de ransomware.
Entre esses grupos, estão o REvil, que invadiu a JBS, e o RansomExx, responsável por ataques ao Superior Tribunal de Justiça (STJ), Embraer e Secretaria do Tesouro Nacional. Outras gangues ligadas à Qakbot são Conti, ProLock, Egregor, MegaCortex e Black Basta.
“Esta botnet fornecia a cibercriminosos como estes uma infraestrutura de comando e controle, com centenas de milhares de computadores usados para disparar ataques contra indivíduos e empresas por todo o mundo”, declarou Christopher Wray, diretor do FBI.
FBI se infiltrou na botnet para destruí-la
Para desmantelar a rede, o FBI se infiltrou em partes de sua infraestrutura, incluindo um dos computadores usados por um administrador da botnet.
Por lá, os agentes americanos encontraram arquivos ligados à operação, como conversas entre os administradores e arquivos de carteiras virtuais.
Pode parecer inacreditável, mas havia até mesmo um arquivo chamado “payments.txt”, com uma lista de vítimas de ransomware, o grupo responsável, detalhes dos sistemas, datas e uma indicação da quantia paga em bitcoin pelos serviços da botnet.
O FBI redirecionou o tráfego da Qakbot para os servidores controlados pela agência. Assim, as autoridades conseguiram o acesso necessário para usar um desinstalador e liberar aparelhos comprometidos.
Esse processo aconteceu de maneira silenciosa, mas o FBI notificou as vítimas usando dados de IPs e informações de roteamento obtidas das próprias máquinas infectadas.
Qakbot foi de fraudes a ransomware ao longo de 15 anos
A Qakbot começou como um trojan bancário em 2008. Ela era usada para roubar dados de acesso, cookies e informações de cartões de crédito para cometer fraudes financeiras.
Ao longo dos anos, ela se tornou um serviço de entrega de malware. Assim, ela dava acesso a redes para ataques de ransomware, roubo de dados e outras atividades criminosas.
A rede foi formada infectando computadores por meio de campanhas de phishing com diferentes formatos, incluindo invadir contas de e-mail e responder conversas com documentos infectados.
Ao infectar um computador, o malware é injetado na memória de um processo legítimo do Windows. Ele pode ser usado para roubar informações da vítima, incluindo e-mails para campanhas futuras de phishing.
Além do FBI, participaram da ação autoridades francesas, alemãs, holandesas, britânicas, romenas e letãs.
Como saber se você foi vítima da Qakbot
Além das notificações do FBI, existem duas formas de saber se você foi vítima da botnet.
Uma delas é acessar o site Have I Been Pwned e fornecer seu e-mail. O serviço dá informações sobre vazamentos de informações e tem detalhes sobre os ataques da Qakbot.
A outra é fornecer seu e-mail ao site da Polícia Nacional Holandesa. Caso seu endereço tenha sido encontrado nas campanhas relacionadas à Qakbot, você receberá uma mensagem.
Com informações: Bleeping Computer 1, 2
