Возрождение Qakbot: как ФБР помогло киберпреступникам усилить свои атаки

Исследователи из Cisco Talos сообщают , что хакеры, стоявшие за ботнетом Qakbot, теперь занимаются распространением вымогательского ПО.

Отметим, что в конце августа правоохранительные органы США в рамках международной операции под названием «Duck Hunt» ликвидировали Qakbot — одну из самых продуктивных и долгоживущих ботнет-сетей. Ведомства семи стран не только отключили инфраструктуру Qakbot, но и удалили вредоносное ПО с зараженных устройств.

По словам специалистов Cisco Talos, несмотря на отключение инфраструктуры Qakbot, хакерам удалось сохранить свои инструменты распространения, которые теперь используются для распространения вариантов программ-вымогателей Cyclops/Ransom Knight, а также троян удалённого доступа (Remote Access Trojan, RAT) Remcos.

Примечательно, что деятельность киберпреступников началась в начале августа – до того, как ФБР захватило инфраструктуру Qakbot в конце августа, и с тех пор продолжается, что указывает на то, что операция правоохранительных органов, возможно, не повлияла на инфраструктуру распространения Qakbot, а скорее только на серверы управления и контроля (Command and Control Server, C2).

Исследователи указывают, что названия вредоносных файлов говорят о том, что вымогательское ПО распространяется с помощью фишинговых писем — такой же метод, который использовался в предыдущих кампаниях Qakbot. Некоторые названия файлов написаны на итальянском языке, что заставляет экспертов полагать, что активные заражения происходят в Европе.

Специалисты предупредили, что угроза от Qakbot остается актуальной, так как разработчики не были арестованы, и, вероятно, они могут решить восстановить инфраструктуру Qakbot для полного возобновления своей деятельности.

По данным Cisco Talos, Ransom Knight представляет собой обновленную версию программы-вымогателя Cyclops, переписанную с нуля. Субъект угрозы, стоящий за Cyclops, анонсировал новый вариант в мае 2023 года. Исследователи Cisco Talos не считают, что хакеры Qakbot разработали новые программы-вымогатели, но, вероятно, являются клиентами Raas-сервиса (Ransomware-as-a-Service, RaaS), предлагающего Cyclops/Ransom Knight.