Operação global do FBI, realizada esta semana, desmantelou o Qakbot e foi considerada o maior ataque financeiro e técnico liderado pelos EUA à infraestrutura de um botnet.
O Qakbot é um trojan bancário que se tornou famoso por fornecer uma posição inicial na rede de vítimas para que outros hackers comprem acesso e entreguem seu próprio malware, como ransomware. Autoridades dos EUA afirmaram que o Qakbot ajudou a facilitar mais de 40 ataques de ransomware nos últimos 18 meses, gerando US$ 58 milhões em pagamentos de resgate.
A operação de aplicação da lei, denominada “Operação Duck Hunt”, envolveu o FBI e seus parceiros internacionais, que confiscaram a infraestrutura do Qakbot localizada nos Estados Unidos e na Europa. O Departamento de Justiça dos EUA, que comandou a operação ao lado do FBI, também anunciou a apreensão de mais de US$ 8,6 milhões em criptomoedas da organização cibercriminosa Qakbot, que em breve será disponibilizada às vítimas.
A operação do FBI redirecionou o tráfego de rede do botnet para servidores sob o controle do governo dos EUA, permitindo que as autoridades assumissem o controle do botnet. Com esse acesso, o FBI usou o botnet para instruir as máquinas infectadas pelo Qakbot ao redor do mundo a baixar um desinstalador desenvolvido pelo FBI, que desconectou o computador da vítima do botnet, impedindo a instalação de mais malware por meio do Qakbot.
O FBI estimou que, em junho, cerca de 700.000 dispositivos estavam infectados com o Qakbot, incluindo mais de 200.000 nos Estados Unidos. Durante uma entrevista coletiva, um oficial sênior do FBI afirmou que o número total de vítimas do Qakbot provavelmente está na casa dos “milhões”.
A operação funcionou identificando e ganhando acesso aos servidores que executam a infraestrutura do botnet Qakbot hospedada por uma empresa de hospedagem na web não nomeada, incluindo sistemas usados pelos administradores do Qakbot. O FBI também pediu ao tribunal que exigisse que o host da web produzisse secretamente uma cópia dos servidores para evitar que o host notificasse seus clientes, os administradores do Qakbot.
O FBI conseguiu acesso a sistemas que incluíam máquinas virtuais do Qakbot para testar suas amostras de malware contra mecanismos antivírus populares e servidores do Qakbot para executar campanhas de phishing com nomes de ex-presidentes dos EUA, sabendo que e-mails com temas políticos provavelmente seriam abertos. O FBI também conseguiu identificar carteiras do Qakbot que continham criptomoedas roubadas pelos administradores do Qakbot.
A operação foi bem-sucedida ao decodificar os comandos criptografados do Qakbot usando as chaves de criptografia e instruir as máquinas Tier 1 a substituir o módulo “supernode” por um novo desenvolvido pelo FBI. Isso impediu que os administradores do Qakbot acessassem sua própria infraestrutura.
A operação contou com o fornecimento de um módulo do FBI às máquinas Tier 1, que redirecionaram o tráfego para um servidor controlado pelo FBI. Quando as máquinas infectadas pelo Qakbot verificaram seus servidores, começaram a se comunicar com o servidor do FBI e baixaram um desinstalador que removeu completamente o malware do Qakbot.
O FBI garantiu que seu servidor “será um beco sem saída” e que não capturará conteúdo das máquinas infectadas, exceto o endereço IP e informações de roteamento, para que o FBI possa entrar em contato com as vítimas do Qakbot.
Esta é a operação mais recente realizada pelo FBI nos últimos anos, incluindo a remoção de backdoors plantados por hackers chineses em servidores de email do Microsoft Exchange em 2021 e a interrupção de um grande botnet usado por espiões russos em 2022, bem como outro botnet russo em 2023.
A operação “Duck Hunt” representa um marco significativo na luta contra o cibercrime, desmantelando uma importante ameaça cibernética e proporcionando algum alívio às vítimas afetadas.