Autoridades desmantelaram uma das maiores redes botnet da atualidade
A botnet conhecida como “Qakbot” é uma das maiores e mais antigas redes em atividade na internet, mas foi agora desmantelada numa operação das autoridades sobre o nome de “Duck Hunt”.
Esta operação, liderada pelo FBI, levou à apreensão de vários sistemas de controlo da botnet, que eram usados para o envio de comandos aos dispositivos infetados. Esta rede foi identificada como sendo a origem de mais de 40 ataques de ransomware contra empresas e entidades governamentais, causando milhares de dólares em prejuízos.
As estimativas apontam que, apenas nos últimos 18 meses, a rede tenha criado prejuízos no valor de 58 milhões de dólares. Ao longo dos anos, esta rede tem sido usada como porta de entrada para diversos ataques de ransomware, de grupos como Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex e Black Basta.
De acordo com o diretor do FBI, Christopher Wray, as vitimas encontravam-se distribuídas em diferentes setores a nível mundial. A botnet mantinha uma larga rede de sistemas infetados, que eram usados para enviar comandos e realizar ataques em larga escala.
O FBI afirma que a rede contava com mais de 700,000 sistemas diferentes, mais de 200.000 encontravam-se nos EUA, que faziam parte da infraestrutura da botnet. Dento desta encontravam-se ainda sistemas usados para receberem e enviarem os comandos, em controlo dos gestores da rede.
Num dos sistemas usado pelos administradores da Qakbot, as autoridades terão descoberto diversos ficheiros contendo informações relacionadas com as atividades presentes e passadas da Qakbot. Isto inclui mensagens e comunicação feitas entre o administrador da rede e interessados no uso da mesma.
Foram ainda descobertas várias informações sobre vítimas de ataques realizados através da Qakbot, dados de pagamento, detalhes dos esquemas de ransomware e outras informações.
Durante o final da semana passada, as autoridades tomaram o controlo da rede, passando a redirecionar todo o tráfego da mesma para um servidor em controlo do FBI, que foi usado para correr um comando que permite remover o malware dos sistemas infetados.
Apesar de os dispositivos não terem sido diretamente notificados caso estivessem infetados, e a remoção do malware ter sido feita de forma silenciosa, os utilizadores podem vir a verificar se foram afetados através de ferramentas como o Have I Been Pwned e o site da Politie.
No final, as autoridades não apenas desmantelaram as operações do malware, como também removeram o mesmo dos sistemas onde este se encontrava através do redireccionamento do tráfego para sistemas em controlo do FBI.
De notar, no entanto, que esta tarefa não remove outro malware que possa encontrar-se no sistema, e que ainda possa estar a ser usado para ataques ou roubos de dados.
Esta foi uma das maiores operadoras de desmantelamento de uma rede botnet realizada pelas autoridades dos EUA, sobretudo tendo em conta a dimensão da mesma e o número de potenciais vitimas – direta ou indiretamente – associadas com a mesma.