DIICOT: Procurorii şi poliţiştii, la solicitarea SUA, au destructurat o parte din infrastructura programului malware Qackbot

Procurorii DIICOT şi poliţiştii au destructurat, la solicitarea autorităţilor din SUA, o parte din infrastructura programului informatic de tip malware Qackbot.

Potrivit unui comunicat al DIICOT, sâmbătă, procurorii Direcţiei de Investigare a Infracţiunilor de Criminalitate Organizată şi Terorism împreună cu Poliţia Română, au pus în executare o cerere de asistenţă judiciară internaţională, emisă de către autorităţile din SUA, ce a vizat destructurarea unei părţi din infrastructura programului informatic de tip malware Qackbot (Qbot).

Activ din anul 2007, acest malware prolific (cunoscut şi sub numele de QBot sau Pinkslipbot) a evoluat, folosind diferite tehnici pentru a infecta utilizatorii şi a compromite sisteme informatice, arată sursa citată, care adaugă că malware-ul Qakbot era infiltrat în computerele victimelor prin e-mailuri de tip spam, care conţineau ataşamente sau hyperlinkuri maliţioase, iar odată instalat pe computerul vizat malware-ul avea ca scop infectarea acestuia cu programe informatice precum Cobalt Strike sau alte tipuri de ransomware.

În plus, spun anchetatorii, computerul infectat devenea parte dintr-o reţea botnet (o reţea de computere compromise) controlată simultan de infractorii cibernetici, de obicei fără ştirea victimelor.

Cu toate acestea, procurorii precizează că obiectivul principal al Qakbot a fost reprezentat de furtul datelor financiare şi al credenţialelor de conectare din browserele web.

“Modul de funcţionare al malware-ului Qackbot presupune o succesiune de paşi, respectiv victima primea un e-mail cu un ataşament sau un hyperlink pe care îl accesa, iar ulterior sistemul informatic vizat începea să descarce malware-ul Qackbot, imitând procese legitime. În urma descărcării malware-ului Qackbot, acesta era instalat pe calculator, ulterior fiind descărcate alte programe de tip malware, precum troieni bancari. Atacatorul are posibilitatea să fure apoi date financiare, credenţiale de logare, etc. În final, alte programe maliţioase, spre exemplu programe ransomware, sunt instalate pe calculatorul victimei”, explică DIICOT.

Familii cunoscute de ransomware precum Conti, ProLock, Egregor, REvil, MegaCortex şi Black Basta ar fi folosit Qakbot pentru a efectua un număr mare de atacuri ransomware asupra unor infrastructuri critice sau asupra mai multor societăţi comerciale, menţionează anchetatorii.

Administratorii reţelei bot au oferit acestor grupuri de ransomware acces la reţelele infectate, contra cost, această metodă fiind cunoscută şi ca maas (malware as a service), mai arată procurorii.

“Din investigaţiile efectuate a rezultat că, în perioada octombrie 2021 – aprilie 2023, administratorii ar fi primit aproape 54 de milioane de euro din răscumpărările care au fost plătite de victime. Din analiza infrastructurii confiscate a rezultat că malware-ul ar fi infectat peste 700.000 de computere din întreaga lume, iar autorităţile au detectat servere infectate cu Qakbot în aproape 30 de ţări din Europa, America de Sud şi de Nord, Asia şi Africa, permiţând activitatea malware-ului la scară globală”, informează DIICOT.

Autorităţile judiciare americane au anunţat marţi că au desfiinţat – cu ajutorul mai multor state, inclusiv a României – o reţea internaţională de piraterie informatică numită Qakbot, care a infectat peste 700.000 de computere din întreaga lume şi le-a costat pe victime zeci de milioane de dolari în total, transmite AFP.

Operaţiunea internaţională de neutralizare a infrastructurii acestei reţele a fost realizată în cooperare cu autorităţile poliţieneşti şi judiciare din Franţa, Regatul Unit, Germania, Ţările de Jos, România şi Letonia, a precizat într-o conferinţă de presă la Los Angeles procurorul federal Martin Estrada, care a anunţat totodată confiscarea a 8,6 milioane de dolari în criptomonede.

Parchetul din Paris a confirmat într-un comunicat de presă participarea Franţei, Germaniei şi Olandei la această operaţiune care a avut loc la 26 august. Din cele peste 700.000 de dispozitive piratate, 26.000 se aflau în Franţa, conform aceleiaşi surse, şi peste 200.000 în Statele Unite, a indicat poliţia federală americană.

Proliferarea calculatoarelor piratate de Qakbot, lansată în 2008, a făcut din această reţea “malware-ul preferat al infractorilor cibernetici din întreaga lume”, a explicat Estrada.

În ultimele 18 luni, operaţiunile de piraterie informatică facilitate de Qakbot au costat victimele în total 58 de milioane de dolari sub formă de răscumpărări.
Printre companiile vizate din Statele Unite, Estrada a menţionat o companie de inginerie energetică, companii de servicii financiare, de distribuţie de alimente şi un producător de echipamente de apărare, fără a le identifica.

De asemenea, procurorul american nu a făcut referire nici la suspecţi, nici la eventuale arestări, subliniind că ancheta este în desfăşurare.