ФБР и европейские партнеры захватили крупную сеть вредоносного ПО, нанеся удар по глобальной киберпреступности.

Официальные лица США заявили во вторник, что ФБР и его европейские партнеры проникли и захватили контроль над крупной глобальной сетью вредоносных программ, которая на протяжении более 15 лет использовалась для совершения ряда онлайн-преступлений, включая разрушительные атаки программ-вымогателей.

Затем они удаленно удалили вредоносный программный агент, известный как Qakbot, с тысяч зараженных компьютеров.

Эксперты по кибербезопасности заявили, что их впечатлил ловкий демонтаж сети, но предупредили, что любое снижение уровня киберпреступности, скорее всего, будет временным.

«Практически каждый сектор экономики становился жертвой Qakbot», — заявил во вторник прокурор США в Лос-Анджелесе Мартин Эстрада, объявляя об отмене. Он сказал, что преступная сеть способствовала примерно 40 атакам с использованием программ-вымогателей за 18 месяцев, которые, по словам следователей, принесли администраторам Qakbot около 58 миллионов долларов.

По словам Эстрады, среди жертв программы-вымогателя Qakbot были инженерная фирма из Иллинойса, организации финансовых услуг в Алабаме и Канзасе, а также производитель оборонной продукции в Мэриленде и компания по распространению продуктов питания в Южной Калифорнии.

Официальные лица заявили, что 8,6 миллиона долларов в кибервалюте были конфискованы или заморожены, но об арестах объявлено не было.

Эстрада сообщил, что расследование продолжается. Он не сказал, где находятся администраторы вредоносного ПО, которое объединяло зараженные машины в ботнет из компьютеров-зомби.

По оценкам чиновников, так называемый загрузчик вредоносного ПО, цифровой швейцарский нож для киберпреступников, также известный как Pinkslipbot и Qbot, с момента своего первого появления в 2008 году как банковский троян, похищающий информацию, был использован для нанесения ущерба на сотни миллионов долларов. Они заявили, что пострадали миллионы людей почти во всех странах мира.

Qakbot , который обычно доставляется через фишинговые электронные письма, предоставляет хакерам-преступникам первоначальный доступ к взломанным компьютерам. Затем они смогут использовать дополнительные полезные нагрузки, включая программы-вымогатели, красть конфиденциальную информацию или собирать информацию о жертвах, чтобы способствовать финансовому мошенничеству и преступлениям, таким как техническая поддержка и романтические аферы.

Сеть Qakbot «буквально питала глобальную цепочку поставок киберпреступности», сказал Дональд Алвэй, помощник директора, отвечающий за офис ФБР в Лос-Анджелесе, назвав ее «одним из самых разрушительных инструментов киберпреступности в истории». Qakbot, наиболее часто обнаруживаемое вредоносное ПО в первой половине 2023 года, затронул каждую десятую корпоративную сеть и составил около 30% атак во всем мире.найдена пара фирм по кибербезопасности. Подобные инструменты «первоначального доступа» позволяют бандам-вымогателям пропустить первый этап проникновения в компьютерные сети, что делает их главными помощниками для обширных, в основном русскоязычных преступников, которые сеют хаос, крадя данные и нарушая работу школ, больниц, местных органов власти. и бизнеса по всему миру.

Начиная с пятницы в ходе операции, получившей название «Утиная охота», ФБР вместе с Европолом и партнерами из правоохранительных органов и правосудия во Франции, Великобритании, Германии, Нидерландах, Румынии и Латвии захватило более 50 серверов Qakbot и выявило более 700 000 зараженных. компьютеры, более 200 000 из которых в США, эффективно отрезая преступников от их добычи.

Затем ФБР использовало захваченную инфраструктуру Qakbot для удаленной рассылки обновлений, которые удалили вредоносное ПО с тысяч зараженных компьютеров. Высокопоставленный представитель ФБР, проинформировав журналистов при условии, что его личность не будет установлена, назвал это число «изменчивым» и предупредил, что на машинах, освобожденных от Qakbot, могло остаться и другое вредоносное ПО.

Это был самый большой успех ФБР в борьбе с киберпреступниками с тех пор, как оно «взломало хакеров», уничтожив в январе плодовитую банду программ-вымогателей Hive.

«Это впечатляющее уничтожение. Qakbot был крупнейшим ботнетом» по числу жертв, — сказал Алекс Холден, основатель компании Hold Security из Милуоки. Но он сказал, что, возможно, это стало жертвой собственного успеха в ошеломляющем росте за последние несколько лет. «Крупные ботнеты сегодня имеют тенденцию взрываться, поскольку слишком много злоумышленников собирают эти данные для различных типов злоупотреблений».

Эксперт по кибербезопасности Честер Вишневски из Sophos согласился с тем, что, хотя число атак с использованием программ-вымогателей может временно снизиться , можно ожидать, что преступники либо восстановят инфраструктуру в другом месте, либо перейдут на другие ботнеты.

«В краткосрочной перспективе это вызовет серьезные нарушения в работе некоторых банд, но перезагрузка ничего не даст», — сказал он. «Хотя для набора 700 000 ПК требуется много времени».