QakBot là dòng phần mềm độc hại nổi tiếng trên Windows, được ước tính đã xâm phạm hơn 700.000 máy tính trên toàn cầu và tạo điều kiện cho gian lận tài chính cũng như ransomware (mã độc tống tiền).
QakBot còn được gọi là QBot và Pinkslipbot, bắt đầu hoạt động như một trojan ngân hàng từ năm 2007 trước khi chuyển thành hoạt động như một trung tâm phân phối mã độc trên các máy bị nhiễm, bao gồm cả ransomware. Một số ransomware từ QakBot bao gồm Conti, ProLock, Egregor, REvil, MegaCortex và Black Basta. Những người điều khiển QakBot được cho là đã nhận được khoảng 58 triệu USD tiền chuộc mà nạn nhân phải trả trong khoảng thời gian từ tháng 10/2021 đến tháng 4/2023.
Tin tặc thường nhắm mục tiêu vào nạn nhân bằng Qakbot bằng cách gửi cho họ những email spam có chứa các tệp đính kèm hoặc liên kết độc hại. Ngay khi nạn nhân tải xuống tệp đính kèm hoặc nhấp vào liên kết, Qakbot sẽ lây nhiễm vào máy tính của họ, sau đó máy tính này trở thành một phần của mạng botnet — hoặc mạng lưới các máy tính bị nhiễm bệnh do tin tặc điều khiển từ xa. Từ đó, kẻ xấu có thể cài đặt thêm phần mềm độc hại trên thiết bị của nạn nhân, chẳng hạn như ransomware.
Để gỡ bỏ mạng, FBI đã định tuyến Qakbot thông qua các máy chủ do FBI kiểm soát, nơi nó hướng dẫn các máy tính bị nhiễm ở Hoa Kỳ và các nơi khác tải xuống phần mềm gỡ cài đặt phần mềm độc hại Qakbot. Trình cài đặt cũng tách các máy tính bị nhiễm khỏi mạng botnet, “ngăn chặn việc cài đặt thêm phần mềm độc hại thông qua Qakbot”. Theo lưu ý của DOJ, hành động này chỉ giới hạn ở phần mềm độc hại do Qakbot cài đặt và “không mở rộng sang việc khắc phục phần mềm độc hại khác đã được cài đặt trên máy tính nạn nhân”.
Bộ Tư pháp Mỹ (DoJ) cho biết, phần mềm độc hại đang được xóa khỏi máy tính nạn nhân, ngăn việc gây thêm bất kỳ tác hại nào, đồng thời nhà chức trách đã tịch thu hơn 8,6 triệu USD tiền điện tử bất hợp pháp.
Chiến dịch xuyên biên giới có sự tham gia của các quốc gia Pháp, Đức, Latvia, Romania, Hà Lan, Anh và Mỹ, cùng sự hỗ trợ kỹ thuật từ Công ty an ninh mạng Zscaler. Đây là cuộc truy quét nhằm làm gián đoạn tài chính và kỹ thuật lớn nhất do Mỹ lãnh đạo đối với cơ sở hạ tầng mạng botnet được tội phạm mạng tận dụng, dù không có vụ bắt giữ nào được công bố.
Tính đến giữa tháng 6/2023, 853 máy chủ cấp 1 đã được xác định ở 63 quốc gia, máy chủ cấp 2 hoạt động như proxy để che giấu máy chủ điều khiển chính. Dữ liệu do Abuse.ch thu thập cho thấy tất cả các máy chủ QakBot hiện đã ngoại tuyến.
Theo HP Wolf Security, QakBot cũng là một trong những dòng phần mềm độc hại hoạt động tích cực nhất trong quý 2/2023 với 18 chuỗi tấn công và thực hiện 56 chiến dịch. Nó cho thấy xu hướng của nhóm tội phạm đang cố gắng nhanh chóng khai thác những lỗ hổng trong hệ thống phòng thủ mạng để trục lợi bất chính.