Il Dipartimento di Giustizia statunitense ha annunciato un’operazione multinazionale, che si è articolata con azioni negli Stati Uniti, Francia, Germania, Paesi Bassi, Regno Unito, Romania e Lettonia per distruggere la botnet e il malware noto come Qakbot e abbattere la sua infrastruttura. Il codice maligno Qakbot è stato eliminato dai computer delle vittime, impedendogli di nuocere ulteriormente. Il Dipartimento ha inoltre annunciato il sequestro di circa 8,6 milioni di dollari in criptovalute, frutto di profitti illeciti.
L’azione rappresenta la più grande interruzione tecnica e finanziaria guidata dagli Stati Uniti di un’infrastruttura botnet sfruttata dai criminali informatici per commettere ransomware, frodi finanziarie e altre attività criminali abilitate dalla tecnologia informatica. “Ai criminali informatici che si affidano a malware come Qakbot per rubare dati privati a vittime innocenti è stato ricordato oggi che non operano al di fuori dei limiti della legge”, ha dichiarato il procuratore generale Merrick B. Garland. “Insieme ai nostri partner internazionali, il Dipartimento di Giustizia ha violato l’infrastruttura di Qakbot, ha lanciato una campagna aggressiva per disinstallare il malware dai computer delle vittime negli Stati Uniti e in tutto il mondo e ha sequestrato 8,6 milioni di dollari di fondi estorti”.
I dettagli
Secondo i documenti del tribunale, Qakbot, conosciuto anche con vari altri nomi, tra cui “Qbot” e “Pinkslipbot”, è controllato da un’organizzazione di criminali informatici e utilizzato per colpire industrie critiche in tutto il mondo. Il malware Qakbot infetta principalmente i computer delle vittime attraverso messaggi e-mail di spam contenenti allegati o collegamenti ipertestuali dannosi. Una volta infettato il computer vittima, Qakbot è in grado di fornire ulteriore malware, compreso il ransomware, al computer infetto. I computer vittima infettati dal malware Qakbot fanno parte di una botnet, ovvero una rete di computer compromessi, il che significa che gli autori possono controllare da remoto tutti i computer infetti in modo coordinato. I proprietari e gli operatori dei computer vittima sono in genere ignari dell’infezione. Qakbot è stato utilizzato come mezzo di infezione iniziale da molti gruppi di ransomware prolifici negli ultimi anni, tra cui Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta. Gli attori del ransomware estorcono poi le vittime, chiedendo il pagamento di un riscatto in bitcoin prima di restituire l’accesso alle reti di computer delle vittime. Questi gruppi di ransomware hanno causato danni significativi ad aziende, fornitori di servizi sanitari e agenzie governative in tutto il mondo.
I commenti
“L’FBI ha condotto un’operazione congiunta e sequenziale a livello mondiale che ha paralizzato una delle botnet di criminali informatici più longeve”, ha dichiarato il direttore dell’FBI Christopher Wray. Con i nostri partner federali e internazionali, continueremo a colpire sistematicamente ogni parte delle organizzazioni criminali informatiche, i loro facilitatori e il loro denaro, anche interrompendo e smantellando la loro capacità di utilizzare infrastrutture illecite per attaccarci”. Il successo di oggi è l’ennesima dimostrazione di come le capacità e la strategia dell’FBI stiano colpendo duramente i criminali informatici e rendendo il popolo americano più sicuro”.
“Una partnership internazionale guidata dal Dipartimento di Giustizia e dall’FBI ha portato allo smantellamento di Qakbot, una delle botnet più famose di sempre, responsabile di ingenti perdite per le vittime di tutto il mondo”, ha dichiarato il Procuratore degli Stati Uniti Martin Estrada per il Distretto Centrale della California. Qakbot era la botnet preferita da alcune delle più famose bande di ransomware, ma ora l’abbiamo eliminata”. Questa operazione ha anche portato al sequestro di quasi 9 milioni di dollari in criptovaluta dall’organizzazione criminale informatica Qakbot, che saranno ora messi a disposizione delle vittime. Il mio ufficio si concentra sulla protezione e la rivendicazione dei diritti delle vittime, e questo attacco multiforme alla criminalità informatica dimostra il nostro impegno a salvaguardare la nostra nazione dai danni”.
I numeri
Nell’ambito dell’operazione, l’FBI è riuscita a ottenere l’accesso all’infrastruttura di Qakbot e a identificare oltre 700.000 computer in tutto il mondo, tra cui più di 200.000 negli Stati Uniti, che sembrano essere stati infettati da Qakbot. Per interrompere la rete bot, l’FBI è riuscita a reindirizzare il traffico della rete bot Qakbot verso e attraverso i server controllati dall’FBI, che a sua volta ha istruito i computer infetti negli Stati Uniti e altrove a scaricare un file creato dalle forze dell’ordine che avrebbe disinstallato il malware Qakbot. Questo programma di disinstallazione era progettato per slegare il computer vittima dalla rete bot Qakbot, impedendo l’ulteriore installazione di malware attraverso Qakbot.
La portata di questa azione di contrasto era limitata alle informazioni installate sui computer delle vittime dagli attori di Qakbot. Non si è estesa alla bonifica di altro malware già installato sui computer vittima e non ha comportato l’accesso o la modifica delle informazioni dei proprietari e degli utenti dei computer infetti.
La collaborazioni
Preziosa è stata l’assistenza tecnica è stata fornita da Zscaler. L’FBI ha collaborato con la Cybersecurity and Infrastructure Security Agency, Shadowserver, Microsoft Digital Crimes Unit, la National Cyber Forensics and Training Alliance e Have I Been Pwned per contribuire alla notifica e alla riparazione delle vittime.
L’Ufficio dell’FBI di Los Angeles, l’Ufficio del Procuratore degli Stati Uniti per il Distretto Centrale della California e la Sezione Criminalità Informatica e Proprietà Intellettuale (CCIPS) della Criminal Division hanno condotto l’operazione in stretta collaborazione con Eurojust. Investigatori e procuratori di diverse giurisdizioni hanno fornito un’assistenza cruciale, tra cui Europol, l’Ufficio centrale per la criminalità informatica della polizia francese e la Sezione criminalità informatica della Procura di Parigi, la Polizia criminale federale tedesca e la Procura generale di Francoforte sul Meno, la Polizia nazionale e la Procura nazionale dei Paesi Bassi, la National Crime Agency del Regno Unito, la Polizia nazionale della Romania e la Polizia di Stato della Lettonia. L’Ufficio Affari Internazionali del Dipartimento di Giustizia e il Field Office dell’FBI di Milwaukee hanno fornito un’assistenza significativa.
Gli avvocati processuali del CCIPS Jessica Peck, Ryan K.J. Dickey e Benjamin Proctor e gli assistenti procuratori statunitensi Khaldoun Shobaki e Lauren Restrepo per il distretto centrale della California hanno guidato gli sforzi degli Stati Uniti.
