L’operazione internazionale “Duck Hunt”, condotta dagli Stati Uniti in collaborazione con l’Europol e le autorità giudiziarie e di polizia europee, ha portato all’interruzione e allo smantellamento della botnet nota come Qakbot, il malware che è stato in grado di infettare oltre 700.000 computer in tutto il mondo. Lo hanno annunciato il 29 agosto l’FBI e il Dipartimento di Giustizia.
L’azione, che ha avuto luogo negli Stati Uniti, in Francia, Germania, Paesi Bassi, Romania, Lettonia e Regno Unito, rappresenta una delle più grandi azioni di contrasto mai condotte dagli Stati Uniti contro una botnet utilizzata dai criminali informatici per commettere ransomware, frodi finanziarie e altre attività criminali online.
“L’FBI ha neutralizzato questa catena di approvvigionamento criminale di vasta portata, tagliandola alle radici”, ha affermato il direttore dell’FBI Christopher Wray. “Le vittime andavano dagli istituti finanziari sulla costa orientale a un appaltatore governativo di infrastrutture critiche nel Midwest fino a un produttore di dispositivi medici sulla costa occidentale”.
Come funzionava il malware Qakbot
Il malware Qakbot infettava i computer delle vittime principalmente attraverso e-mail di spam che contenevano allegati o collegamenti dannosi. Una volta che un utente scaricava o cliccava sul contenuto, Qakbot distribuiva ulteriore malware, incluso il ransomware, sul computer della vittima. Il computer diventava anche parte di una botnet (una rete di computer compromessi) e poteva essere controllato in remoto dagli utenti della botnet. Una vittima di Qakbot, in genere, non era a conoscenza del fatto che il proprio computer fosse stato infettato.
Dalla sua creazione nel 2008, Qakbot è stato utilizzato in attacchi ransomware e altri crimini informatici che hanno causato perdite per centinaia di milioni di dollari a privati e aziende negli Stati Uniti e all’estero.
“Questa botnet ha fornito a criminali informatici come questi un’infrastruttura di comando e controllo composta da centinaia di migliaia di computer utilizzati per sferrare attacchi contro individui e aziende in tutto il mondo”, ha affermato Wray.
Interruzione di Qackbot
Nell’ambito dell’operazione, l’FBI ha ottenuto un accesso legale all’infrastruttura di Qakbot e ha identificato oltre 700.000 computer infetti in tutto il mondo, inclusi più di 200.000 negli Stati Uniti. Per interrompere la botnet, l’FBI ha reindirizzato il traffico di Qakbot ai server controllati dall’FBI che hanno istruito gli infetti computer per scaricare un file di disinstallazione. Questo programma di disinstallazione, creato per rimuovere il malware Qakbot, ha liberato i computer infetti dalla botnet e ha impedito l’installazione di malware aggiuntivo.
“Tutto ciò è stato reso possibile dal lavoro dedicato dell’FBI di Los Angeles, della nostra divisione informatica presso la sede centrale dell’FBI e dei nostri partner, sia qui in patria che all’estero”, ha affermato Wray. “La minaccia informatica che la nostra nazione deve affrontare diventa ogni giorno più pericolosa e complessa. Ma il nostro successo dimostra che la nostra rete e le nostre capacità sono più potenti.”
