Новая версия Qbot атакует полицейские участки и больницы по всему миру

image

Теги: ботнет, заражение, хищение данных, бэкдор

В основном вредонос используется для хищения учетных данных и создания бэкдоров на зараженных системах.

Исследователи компании BAE Systems обнаружили новую версию вредоносного ПО Qbot, используемую злоумышленниками для атак на управления полиции, больницы и образовательные учреждения в различных странах мира. В настоящее время в состав ботнета входит более 54 517 тыс. инфицированных компьютеров в тысячах организаций. Большая часть из них находится в США, Великобритании и Канаде. В основном вредонос используется для хищения учетных данных и создания бэкдоров на зараженных системах. Qbot способен распространяться автоматически и не детектируется большинством антивирусных решений.

Для инфицирования жертв злоумышленники используют вредоносные рекламные баннеры или методы социальной инженерии, обманом заставляя пользователей переходить на вредоносный web-сайт, содержащий набор эксплоитов RIG. Оказавшись на системе, Qbot пытается заразить другие компьютеры в сети, используя для этой цели общедоступные папки. Если они защищены паролем, вредонос пытается получить доступ к диспетчеру паролей. В случае неудачи троян использует список с распространенными сочетаниями логин/пароль, содержащемся в его теле, для осуществления брутфорс-атаки.

Задача Qbot заключается в заражении максимального числа компьютеров в сети. Далее вредонос связывается с C&C-сервером, который отправляет обновления каждые шесть часов. Помимо инструкций, обновления содержат новые версии вредоносного ПО, сгенерированные при помощи двухэтапного полиморфического процесса, модифицирующего структуру трояна, что не позволяет создать уникальную сигнатуру для данного образца.

Бюджет большинства организаций общественного сектора, отвественных за работу критической инфраструктуры или сервисов, довольно ограничен. Из-за дефицита средств структуры зачастую используют устаревшее программное и аппаратное обеспечение, что увеличивает риск кибератак, отмечают эксперты.

В октябре 2014 года специалисты Proofpoint обнаружили ботнет Qbot, состоящий из 500 тыс. инфицированных систем. Вредоносному ПО удалось перехватить около 800 тыс. транзакций online-банкинга. Предположительно, более половины (59%) сессий были перехвачены у клиентов пяти крупнейших банков США.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.