O rețea internațională de hackeri a fost destructurată și cu ajutorul României 

Poliția Română anunță că, împreună cu procurorii D.I.I.C.O.T., a pus în executare o cerere de asistență judiciară internațională, emisă de către autoritățile din S.U.A. Activitatea a vizat destructurarea unei părți din infrastructura programului informatic de tip malware, denumit Qackbot (Qbot).

Anchetatorii au stabilit că prin utilizarea programului a fost făcut un prejudiciu de aproape 54 de milioane de euro. Victimele sunt din întreaga lume, fiind atacate peste 700.000 de computere.

„Din investigațiile efectuate a rezultat că, în perioada octombrie 2021 – aprilie 2023, administratorii ar fi primit aproape 54 de milioane de euro din răscumpărările care au fost plătite de victime. Din analiza infrastructurii confiscate a rezultat că malware-ul ar fi infectat peste 700.000 de computere din întreaga lume, iar autoritățile au detectat servere infectate cu Qakbot în aproape 30 de țări din Europa, America de Sud și de Nord, Asia și Africa, permițând activitatea malware-ului la scară globală”, a anunțat Poliția Română.

Activ din 2007, acest malware prolific (cunoscut și sub numele de QBot sau Pinkslipbot) a evoluat de-a lungul timpului, folosind diferite tehnici pentru a infecta utilizatorii și a compromite sisteme informatice, potrivit anchetatorilor.

Malware-ul Qakbot era infiltrat în computerele victimelor prin e-mailuri de tip spam, care conțineau atașamente sau hyperlinkuri malițioase. Odată instalat pe computerul vizat, malware-ul avea ca scop infectarea acestuia cu programe informatice precum Cobalt Strike sau alte tipuri de ransomware.

În plus, computerul infectat devenea parte dintr-o rețea botnet (o rețea de computere compromise) controlată simultan de infractorii cibernetici, de obicei fără știrea victimelor. Cu toate acestea, obiectivul principal al Qakbot era furtul datelor financiare și al credențialelor de conectare din browserele web.

Modul de funcționare al malware-ului Qackbot presupune o succesiune de pași. Prima dată, victima primea un e-mail cu un atașament sau un hyperlink pe care îl accesa. Ulterior, sistemul informatic vizat începea să descarce malware-ul Qackbot, imitând procese legitime. În urma descărcării malware-ului Qackbot, acesta se instala pe calculator, ulterior fiind descărcate alte programe de tip malware, precum troieni bancari. Atacatorul fura apoi date financiare, credențiale de logare. În final, alte programe malițioase, spre exemplu programe ransomware, erau instalate pe calculatorul victimei.

Familii cunoscute de ransomware precum Conti, ProLock, Egregor, REvil, MegaCortex și Black Basta ar fi folosit Qakbot pentru a efectua un număr mare de atacuri ransomware asupra unor infrastructuri critice sau asupra mai multor societăți comerciale.

Administratorii rețelei bot ar fi oferit acestor grupuri de ransomware acces la rețelele infectate, contra cost, această metodă fiind cunoscută și ca maas (malware as a service).