FBI

Qakbot は、これまでで最大かつ最も長く運用されているボットネットの 1 つであり、FBI が主導する「ダックハント作戦」として知られる多国籍法執行作戦の後に削除されました。

このボットネット (Qbot や Pinklipbot としても知られる) は法執行機関によって、世界中の企業、医療提供者、政府機関に対する少なくとも 40 件のランサムウェア攻撃に関連付けられており、控えめに見積もっても数億ドルの損害を引き起こしました。過去 18 か月だけで、損失は 5,800 万ドルを超えています。

長年にわたり、Qakbot は、Conti、 ProLockEgregor 、REvil、RansomExx、MegaCortex、そして最近ではBlack Bastaを含む、さまざまなランサムウェア ギャングおよびその関連会社やオペレータの初期感染ベクトルとして一貫して機能してきました。

FBIのクリストファー・レイ長官は、「被害者の範囲は東海岸の金融機関から中西部の重要インフラ政府請負業者、西海岸の医療機器メーカーにまで及んだ」 と述べた

「このボットネットは、このようなサイバー犯罪者に、世界中の個人や企業に対する攻撃に使用される数十万台のコンピューターで構成される指揮統制インフラストラクチャを提供しました。」

Qakbot 管理者の PC を制御した後、削除されました

Qakbot がボットネットのインフラストラクチャの一部に侵入し、70 万台以上 (米国では 20 万台以上) のコンピュータに感染した後、FBI は Qakbot を解体しました。その中には Qakbort 管理者が使用していたコンピュータの 1 台も含まれていました。

「Qakbot 管理者が使用するコンピューターの 1 つで、FBI は Qakbot ボットネットの操作に関連する多くのファイルを発見しました。それらのファイルには、Qakbot 管理者と共謀者との間の通信 (たとえば、以下で詳細に説明するチャット) と、次のファイルが含まれるディレクトリが含まれていました。 裁判所文書によると、仮想通貨ウォレットに関する情報を保持するいくつかのファイル。

「同じコンピュータ上の別の場所で見つかった『payments.txt』という名前の別のファイルには、ランサムウェア被害者のリスト、ランサムウェア グループの詳細、コンピュータ システムの詳細、日付、Qakbot に支払われた BTC の金額の表示が含まれていました」ランサムウェア攻撃に関連する管理者。」

金曜日の夜、彼らはQakbotのトラフィックを当局が管理するサーバーにリダイレクトし、FBIに世界中の侵害されたデバイスにアンインストーラーを展開するために必要なアクセスを提供し、感染を除去し、追加の悪意のあるペイロードの展開を防止した。

システムからマルウェアを削除するためにアンインストーラーが実行されたとき、被害者は通知を受け取りませんでしたが、FBI は削除ツールの導入時に被害者のコンピュータから収集された IP アドレスとルーティング情報を使用して被害者に通知しました。

さらに、人々は、 Have I Been Pwnedまたはオランダ国家警察のWeb サイトに電子メール アドレスを送信することで、自分のデバイスが感染したかどうかを確認できます。

また、FBI がどのようにしてボットネットに感染した Windows コンピューターから Qakbot マルウェアを駆除することができたのかについて詳しく説明した続報も公開しました。

「この法執行措置の範囲は、Qakbot の攻撃者によって被害者のコンピューターにインストールされた情報に限定されていた」と司法省は本日のプレスリリースで述べた

「被害者のコンピュータにすでにインストールされている他のマルウェアの修復には及ばず、感染したコンピュータの所有者やユーザーの情報へのアクセスや情報の変更も含まれていませんでした。」

この共同作戦を通じてFBIが協力したパートナーのリストには、ユーロポール、フランス警察サイバー犯罪中央局とパリ検察局サイバー犯罪課、ドイツ連邦刑事警察とフランクフルト/マイン総検事局、オランダ国家警察と国家検察が含まれる。オフィス、英国国家犯罪庁、ルーマニア国家警察、ラトビア国家警察。

FBI はまた、CISA、Shadowserver、Microsoft Digital Crimes Unit、National Cyber Forensics and Training Alliance、Have I Been Pwned と協力して被害者に通知しました。

この作戦は、ユーロジャストの協力を得て、FBIのロサンゼルス出張所、カリフォルニア中央地区連邦検事局、刑事局のコンピュータ犯罪・知的財産課(CCIPS)が調整した。

「Qakbot は、最も悪名高いランサムウェア ギャングの一部が選んだボットネットでしたが、私たちはこれを排除しました。この作戦により、Qakbot サイバー犯罪組織から約 900 万ドルの仮想通貨が押収されました。被害者は利用できる」と米国検事のマーティン・エストラーダ氏は語った。

5月には、ファイブ・アイズ加盟国のすべてのサイバーセキュリティおよび諜報機関も、ロシア連邦保安庁(FSB)が運営し、悪名高いTurlaハッキンググループに関連するピアツーピアボットネット「Snake」を阻止した。