As autoridades dos EUA anunciaram esta semana os resultados de uma operação internacional cujo objetivo era desmantelar a notória botnet Qakbot.

A operação, apelidada de ‘Duck Hunt’, envolveu a aquisição da infraestrutura do Qakbot e a distribuição de um utilitário projetado para remover automaticamente o malware dos sistemas infectados. As autoridades também anunciaram a apreensão de mais de US$ 8,6 milhões em criptomoedas como parte da operação.

O malware Qakbot infectou pelo menos 700.000 sistemas em todo o mundo, sendo frequentemente usado para entregar ransomware a dispositivos comprometidos. Os investigadores acreditam que os administradores do Qakbot ganharam cerca de US$ 58 milhões em resgates em menos de dois anos.

Profissionais da indústria comentaram sobre vários aspectos da tentativa de derrubada, incluindo suas implicações e se este é o fim do Qakbot.

E o feedback começa…

Ricardo Villadiego, fundador, CEO, Lumu:

Ricardo Villadiego

“No geral, é bom que as autoridades sejam capazes de executar esse tipo de remoção em grande escala – especialmente com uma ameaça como o Qbot. Com um aumento significativo nos ataques de ransomware recentemente, o Qbot é um dos principais precursores de ransomware usados ​​por grupos ativos como Egregor, ProLock, MegaCortex, Black Basta, Royal e Conti, de acordo com dados da Lumu.

As derrubadas do governo têm de ser feitas, mas também precisamos de compreender o que isto realmente significa e por que razão reivindicar a vitória pode ser prematuro. Primeiro, é muito provável que, como o código é altamente personalizável, ele tenha sido vendido em pedaços a outros agentes de ameaças. Isso significa que continuaremos a ver trechos de código que remontam ao Qbot por muito tempo. Devido a esta realidade, é muito provável que surjam mais variantes nos próximos dias e semanas. As organizações não devem baixar a guarda quando se trata do Qbot, apesar da declaração do FBI.

Em segundo lugar, há pelo menos 700 mil dispositivos infectados (que saibamos) e não sabemos se o procedimento adequado de remoção de malware foi realizado. O risco aqui é que o Qbot seja apenas um vetor inicial. Cada máquina desses 700K pode estar em diferentes estágios do ataque, portanto outras ferramentas de persistência podem já estar instaladas lá e desmontar ou desinstalar o Qbot pode não ser suficiente. Mesmo se você assumir que o FBI emitiu o comando de desinstalação e todas as máquinas da botnet o executaram, você só pode assumir que o Qbot não está mais ativo, mas você não sabe quais outros mecanismos de persistência ou peças de malware já foram descartados pelo Qbot antes do comando de desinstalação.”

John A. Smith, CEO, Grupo Conversant:

John Smith

“Qakbot era, de certa forma, como zumbis em um filme – cada máquina vítima que eles derrubavam tornava-se parte de seu exército, aumentando seu número e força destrutiva. À medida que o número de máquinas infectadas crescia, elas tinham maior escala para comprometer mais sistemas, aumentar sua infraestrutura, carregar mais malware e lucrar com mais ransomware e ataques relacionados. Contudo, neste cenário, devemos lembrar que as vítimas não estavam completamente indefesas. A maioria das vítimas eram organizações (em vez de indivíduos), e havia muitos controles de TI que deveriam ter sido empregados para evitar esses comprometimentos. Os sistemas foram comprometidos por meio do download de anexos maliciosos – isso mostra defesas fracas de e-mail, endpoint e perímetro empregadas no nível de TI e escolhas inadequadas de controles e configurações. Em suma, temos um modelo de responsabilidade partilhada: maus atores fazem coisas más e as equipas de TI não olham para as suas defesas através de uma estrutura Zero Trust.

Dito isto: os agentes de ameaças continuam a ficar mais sofisticados na expansão das suas redes globais de afiliados e infra-estruturas C2. A solução, então, requer cooperação global e partilha de informações para montar eficazmente uma defesa, e vemos isso aqui – este foi um esforço louvável para derrubar um grupo ameaçador que permaneceu sem controlo durante demasiado tempo. No entanto, a metodologia de obtenção de aprovação geral (em vez de garantias individuais) para acessar computadores privados e desinstalar aplicativos levanta uma série de preocupações com a privacidade e a saúde do sistema. Embora existam analogias para isto na aplicação da lei, estabelece um precedente para o qual não existe um futuro claro e autolimitante. Como tudo está conectado à nuvem, isso significa essencialmente que o governo pode aproveitar o acesso a grandes nuvens tecnológicas para chegar aos sistemas e, embora existam barreiras para esta ação específica, é difícil dizer aonde ela pode levar. As desinstalações também podem ter consequências não intencionais e, embora isso pareça ter sido feito de forma limpa aqui, é uma consideração para futuras ações desse tipo.”

Travis Smith

“Esta é uma excelente notícia para a indústria, já que o Qakbot tem sido uma grande ameaça contra a qual as organizações tentam se proteger há algum tempo.

Embora a desativação da infraestrutura seja um golpe para os atores da ameaça que a operam, suas habilidades ainda estão no mercado para migrar para uma nova infraestrutura ou integrar-se a outro ecossistema de malware. O próprio Qakbot é conhecido por explorar múltiplas vulnerabilidades, desde sistemas operacionais até dispositivos de rede. As organizações devem continuar vigilantes e tomar medidas agora para reduzir o risco organizacional enquanto há uma calmaria na tempestade.”

John Fokker, Chefe de Inteligência de Ameaças, Centro de Pesquisa Avançada, Trellix:

john fokker

“2023 já provou ser um ano para os livros, já que o FBI anunciou mais um desmantelamento de uma rede global após a derrubada do Genesis Market em maio e a infiltração do ransomware Hive em janeiro. Desde que a indústria detectou pela primeira vez o Qakbot, também conhecido como QBot, QuakBot e Pinkslipbot, um Botnet altamente resiliente, em 2007, ele permaneceu ativo, fazendo com que nós, pesquisadores, muitas vezes sentíssemos que estávamos jogando um jogo de gato e rato. Ele estava em constante evolução, adicionando novos recursos e encontrando novas maneiras de escapar da detecção, sempre evitando a verdadeira derrubada, até hoje. É uma ótima notícia que o FBI e seus parceiros tenham conseguido interromper esse botnet muito persistente e esperamos que ele permaneça offline para sempre.

O processo de remoção não é moleza, falando por experiência própria com nosso recente envolvimento na remoção do Genesis Market e nas prisões de REvil. O combate ao crime cibernético exige muita dedicação e colaboração para desmontar as complexidades das infraestruturas de ransomware. O aumento de remoções e prisões mostra que os cibercriminosos precisam ficar atentos. As autoridades policiais e a indústria estão buscando todas as oportunidades para interromper os atores da ameaça, e outras remoções são iminentes.”

Dave Ratner, CEO, HYAS:

David Ratner

“Aplaudimos o FBI por assumir o controle da infraestrutura de comando e controle do malware Qakbot; infelizmente, sem quaisquer detenções, é provável que os criminosos estabeleçam uma nova infra-estrutura adversária num futuro próximo.

Com o tempo de permanência de apenas 24 horas, esses ataques destacam mais uma vez o quão crítico é para as organizações terem visibilidade imediata do tráfego de rede anômalo, comunicando-se com a infraestrutura adversária, para que possam assumir o controle antes que o ransomware afete a resiliência operacional, conforme recomendado pela CISA e a NSA por meio de soluções de DNS protetor.”

Austin Berglas, chefe global de serviços profissionais da BlueVoyant e ex-agente especial da divisão cibernética do FBI:

Austin Berglas

“O desmantelamento completo da infraestrutura da operação Quakbot e a capacidade de coordenar uma grande operação global com parceiros internacionais é a verdadeira história de sucesso.

Identificar e prender os indivíduos responsáveis ​​é o capítulo seguinte, e muitas vezes o mais difícil, da investigação. A disposição do FBI de realizar investigações globais, complexas e plurianuais é a razão pela qual hoje tantos milhares de vítimas não são mais membros involuntários de uma enorme botnet de computadores infectados.

Esta não é a primeira vez que o FBI conduz operações remotas em grande escala contra grupos criminosos internacionais. Em 2011, o FBI e parceiros desmantelaram e prenderam seis cidadãos estónios responsáveis ​​pela gestão do empreendimento criminoso Rove. Na Operação Ghost Click, este grupo criminoso utilizou malware que foi usado para infectar aproximadamente 4 milhões de computadores em todo o mundo e redirecionou-os para servidores não autorizados, permitindo-lhes controlar os computadores, direcioná-los para websites fraudulentos e gerar milhões de dólares em taxas de publicidade fraudulentas. Após uma investigação complexa, o FBI obteve ordens judiciais autorizando-os a implantar e manter servidores limpos, redirecionar os computadores das vítimas e garantir que milhões de vítimas não perdessem a conectividade com a Internet.”

Ken Westin, CISO de campo, Panther Labs:

Ken Westin

“É interessante que o FBI tenha essencialmente implementado algo que quase se assemelha a um ‘hacking back’ para redireccionar o tráfego para os seus servidores e executou um script para desinstalar o malware em sistemas remotos. É raro que a aplicação da lei implemente tais medidas, uma vez que existem riscos potenciais de execução de comandos em sistemas remotos; no entanto, o risco pode ter sido mínimo neste caso, dada a ameaça representada pelo Qakbot às redes e infraestruturas críticas. Será interessante aprender mais sobre o caso legal de quando tais atividades podem ser realizadas para executar scripts em sistemas remotos ao lidar com malware e ameaças à segurança nacional.”

Max Gannon, analista sênior de inteligência de ameaças cibernéticas, Cofense:

Max Gannon

“Este foi um passo importante a ser dado pelo FBI e pelo Departamento de Justiça e certamente acho que terá um impacto significativo sobre os atores da ameaça por trás do QakBot. Embora esta acção tenha conseguido proteger um grande número de vítimas que já estavam infectadas, não foi acompanhada de detenções, que são o que na maioria das vezes leva à cessação ou, pelo menos, à suspensão temporária das operações dos actores da ameaça. Como não foi acompanhado de prisões, não acredito que este será o fim do QakBot ou, pelo menos, não será o fim dos atores ameaçadores por trás do QakBot. Devido ao enorme golpe na infraestrutura da botnet, espero que os atores da ameaça demorem muito para retornar ou se desdobrem para outros projetos de botnet existentes.”

antonio-cesar-150x150
António César de Andrade

Apaixonado por tecnologia e inovação, traz notícias do seguimento que atua com paixão há mais de 15 anos.