Un’operazione multinazionale, coordinata dal Dipartimento di Giustizia degli Stati Uniti, ha portato all’azione congiunta degli Stati Uniti, Francia, Germania, Paesi Bassi, Regno Unito, Romania e Lettonia per interrompere la potente botnet e il malware ad essa collegato, noti come Qakbot e disattivarne l’infrastruttura. Il codice maligno di Qakbot viene cancellato dai computer delle vittime, impedendogli di causare ulteriori danni. Inoltre, è stato sequestrato un totale di oltre 8,6 milioni di dollari in criptovalute, frutto di profitti illeciti.
Interrote le attività di Qakbot, FBI in prima linea
Questa azione rappresenta la più grande interruzione finanziaria e tecnica guidata dagli Stati Uniti di un’infrastruttura di botnet sfruttata dai criminali informatici per diffondere ransomware, frodi finanziarie e altre attività criminali nel mondo cyber.
“I criminali informatici che si affidano a malware come Qakbot per rubare dati privati a vittime innocenti hanno oggi rivisto il concetto secondo il quale il loro operato non resta al di fuori dei limiti della legge”, ha dichiarato il Procuratore Generale Merrick B. Garland. “Insieme ai nostri partner internazionali, il Dipartimento di Giustizia ha aggirato l’infrastruttura di Qakbot, lanciato una campagna aggressiva per disinstallare il malware dai computer delle vittime negli Stati Uniti e nel mondo e ha sequestrato 8,6 milioni di dollari estorti”.
L’operazione denominata “Duck Hunt”, condotta da una partnership internazionale guidata dal Dipartimento di Giustizia e dall’FBI, ha portato allo smantellamento di Qakbot, una delle botnet più note mai esistite, responsabile di ingenti perdite per le vittime in tutto il mondo.
Il funzionamento di Qakbot
Secondo documenti giudiziari, Qakbot, conosciuto anche con vari altri nomi, tra cui “Qbot” e “Pinkslipbot”, è controllato da un’organizzazione criminale informatica e viene utilizzato per attaccare settori critici in tutto il mondo. Il malware Qakbot infetta principalmente i computer delle vittime attraverso messaggi di posta elettronica di spam contenenti allegati o collegamenti dannosi. Una volta che ha infettato un computer vittima, Qakbot può consegnare ulteriori malware, incluso ransomware, al computer infetto. Qakbot è stato utilizzato come mezzo iniziale di infezione da molti gruppi prolifici di ransomware negli ultimi anni, tra cui Conti, ProLock, Egregor, REvil, MegaCortex e Black Basta. Gli autori di ransomware estorcono poi le loro vittime, cercando pagamenti di riscatto in bitcoin prima di restituire l’accesso alle reti informatiche delle vittime.
Questi gruppi di ransomware hanno causato danni significativi a imprese, fornitori di servizi sanitari e agenzie governative di tutto il mondo. Gli investigatori hanno individuato prove che, tra ottobre 2021 e aprile 2023, gli amministratori di Qakbot hanno ricevuto commissioni corrispondenti a circa 58 milioni di dollari in riscatti pagati dalle vittime.
Le apparecchiature infette dal malware Qakbot fanno parte di una botnet (una rete di computer compromessi), il che significa che i colpevoli possono controllare a distanza tutti i computer infetti in modo coordinato. I proprietari e gli operatori dei computer vittime di solito non sono consapevoli dell’infezione.
L’operazione Duck Hunt
Nel corso dell’operazione, l’FBI è riuscita ad accedere all’infrastruttura di Qakbot e ad individuare oltre 700.000 computer in tutto il mondo, di cui più di 200.000 negli Stati Uniti, apparentemente infettati da Qakbot. Per interrompere la botnet, l’FBI è stata in grado di reindirizzare il traffico del botnet Qakbot attraverso server controllati dall’FBI, che a loro volta hanno istruito i computer infetti negli Stati Uniti e altrove a scaricare un file creato dall’apparato di legge per disinstallare il malware Qakbot. Questo programma di disinstallazione è stato progettato per separare il computer vittima dalla botnet Qakbot, prevenendo ulteriori installazioni di malware attraverso Qakbot.
L’ambito di questa azione di contrasto si è limitato alle informazioni installate sui computer vittime dagli autori di Qakbot. Non si è esteso alla rimozione di altri malware già presenti sui computer vittime e non ha coinvolto l’accesso o la modifica delle informazioni dei proprietari e degli utenti dei computer infetti.
Un prezioso supporto tecnico è stato fornito da Zscaler. L’FBI ha collaborato con l’Agenzia per la Sicurezza e l’Infrastruttura Informatica, Shadowserver, l’Unità di Crimini Digitali di Microsoft, l’Alleanza Nazionale di Cyberforensic e Formazione e “Have I Been Pwned” per aiutare nella notifica e rimedio alle vittime.
L’Ufficio dell’FBI di Los Angeles, l’U.S. Attorney’s Office per il Distretto Centrale della California e la Sezione Criminali di Criminalità Informatica e Proprietà Intellettuale (CCIPS) hanno condotto l’operazione in stretta collaborazione con Eurojust. Investigatori e magistrati di diverse giurisdizioni hanno fornito assistenza cruciale, tra cui Europol, la Sezione Centrale di Polizia Cibernetica della Polizia Francese e la Sezione di Cybercrimine dell’Ufficio di Procura di Parigi, la Polizia Criminale Federale e l’Ufficio del Procuratore Generale Pubblico di Francoforte, la Polizia Nazionale dei Paesi Bassi e l’Ufficio del Pubblico Ministero Nazionale, la National Crime Agency del Regno Unito, la Polizia Nazionale della Romania e la Polizia Statale della Lettonia. L’Ufficio degli Affari Internazionali del Dipartimento di Giustizia e l’Ufficio dell’FBI di Milwaukee hanno fornito un significativo supporto.
Il materiale visionabile dell’operazione
Mandato di perquisizione correlato al file di disinstallazione di Qakbot
https://www.justice.gov/d9/2023-08/23mj4244_warrant_redacted.pdf
Mandato di perquisizione relativo all’infrastruttura server statunitense Qakbot
https://www.justice.gov/d9/2023-08/23mj4248_warrant_redacted.pdf
Mandato di sequestro relativo al sequestro della valuta virtuale
https://www.justice.gov/d9/2023-08/23mj4251_warrant_redacted.pdf
