美國聯邦調查局(FBI)及司法部(DOJ)周二(8/29)宣布,已與多個國家聯手,共同瓦解了由全球70萬部受黑電腦組成的Qakbot殭屍網路,另也扣押了價值約860萬美元的加密貨幣不法所得。
Qakbot現身於2007年,初期只是個金融木馬程序,主要是竊取受害者的金融憑證與其它財務資訊,之後的變種發展出類似蠕蟲的能力,還能用來下載其它惡意程序,以記錄用戶的鍵盤輸入、創建系統後門,或是植入勒索軟體,並具備躲避偵測及避免反向分析的功能。
Qakbot主要是藉由於垃圾郵件中附帶惡意附加文件或連接來傳播,用戶一旦打開文件或點擊連接,它便會發送其它的惡意程序,而受黑電腦也會立刻成為殭屍網路的成員,允許黑客自遠程操控。
FBI局長Christopher Wray指出,他們徹底掃蕩與Qakbot有關的大規模犯罪供應鏈,而事實上,最近幾年曾利用Qakbot的勒索軟體便涵蓋了Conti、ProLock、Egregor、REvil、MegaCortex與Black Basta,受害者除了個人之外,也包含一般企業、健康看護供應商,以及政府機關。
在70萬台感染Qakbot的受黑電腦中,有超過20萬台位於美國。此次與美國聯手的國家則有法國、德國、紐西蘭、羅馬尼亞、拉脫維亞與英國。
各國執法機關瓦解Qakbot的方式,是將Qakbot的流量轉移到由FBI所控制的伺服器上,並指示受黑電腦下載一個反安裝文件,以於電腦上移除Qakbot。值得注意的是,該反安裝文件只能移除Qakbot,並不能移除其它已被安裝在受黑電腦上的惡意程序。
由於受害者多半不知道自己感染了Qakbot,DOJ建議用戶可通過Have I Been Pwned或荷蘭警方所設立的網站來查詢。
