Il Dipartimento di Giustizia degli Stati Uniti ha annunciato lo smantellamento dell’infrastruttura della famigerata botnet QBot (nota anche come Qakbot e Pinkslipbot), al termine dell’operazione internazionale Duck Hunt effettuata insieme a Francia, Germania, Paesi Bassi, Regno Unito, Romania e Lettonia. L’FBI ha inoltre eliminato il malware dai dispositivi infettati.
Come è stato cancellato QBot dai PC?
QBot è apparso online nel 2008. Inizialmente era un normale trojan bancario che consentiva di rubare credenziali, cookie e dati finanziari. Successivamente è diventata una botnet utilizzata per ottenere l’accesso iniziale al dispositivo e installare altri malware, tra cui i ransomware Conti, Black Basta e BlackCat. Il client della botnet veniva distribuito principalmente tramite email di phishing.
Durante l’operazione, l’FBI ha trovato oltre 700.000 computer infetti (200.000 solo negli Stati Uniti). QBot ha causato danni per oltre 58 milioni di dollari (corrispondenti alla somma pagata dalle vittime come riscatto). L’infrastruttura della botnet è stata smantellata e sono stati sequestrati circa 8,6 milioni di dollari in criptovalute (proventi illeciti delle estorsioni).
Dopo aver ottenuto il permesso dal giudice, l’FBI ha preso il controllo dei computer degli amministratori della botnet e trovato le chiavi cifrati usate per comunicare con i server C2 (command and control). Gli agenti hanno quindi sostituito il modulo che inviava i comandi ai computer infetti con un nuovo modulo che funziona come “removal tool“.
In questo modo è stato terminato il processo di QBot caricato in memoria (non è stato letto o scritto nulla su disco), staccando i computer infetti dalla botnet e impedendo l’installazione di altri malware tramite QBot. L’FBI ha usato simili procedure anche per rimuovere dai computer il malware Emotet e le web shell (attacco ProxyLogon) dai server Microsoft Exchange.