logo

CybergON Blog

Advancing the State of Cybersecurity.

La fine di Qakbot: un nuovo Emotet?

Qakbot, malware attivo dal 2008, è stata una minaccia per più di 15 anni, con continue evoluzioni volte ad eludere i controlli di rilevamento. Qakbot è stato utilizzato come vettore di infezione durante diversi attacchi ransomware che hanno infettato oltre 700.000 computer e causato danni per centinaia di milioni di dollari. Solo negli ultimi 18 mesi le perdite hanno superato i 58 milioni di dollari. Nel corso degli anni Qakbot si è affiliato a numerose cyber gang, Conti, REvil e MegaCortex, annoverando tra le ultime anche Black Basta, di cui abbiamo parlato in uno dei nostri articoli.

La botnet di Qakbot si è sviluppata attraverso un’infrastruttura di comando e controllo composta da migliaia di computer utilizzati per sferrare attacchi contro individui e aziende in tutto il mondo, Italia compresa.

La fine di Qakbot

Una lunga operazione guidata dall’FBI, a cui hanno preso parte Europol e forze dell’ordine di Francia, Germania, Olanda, Regno Unito, Romania e Lettonia e nota come “Duck Hunt”, ne ha permesso la chiusura. La notte del 29 agosto L’FBI, dopo essersi infiltrato nell’infrastruttura di Qakbot e aver ottenuto il controllo di un computer utilizzato da un amministratore della cyber gang, ha definitivamente chiuso la botnet.

Quello dell’FBi è un modus operandi che ha preso piede con la (prima) chiusura di Emotet nel gennaio 2021, quando l’“operazione Ladybird” aveva visto la cooperazione di Europol ed Eurojust oltre a diverse nazioni Europee, Canada e Stati Uniti.

Durante Duck Hunt il traffico di Qakbot è stato reindirizzato ai server controllati dall’FBI, che ha avuto così modo di accedere e distribuire un programma di disinstallazione sui dispositivi compromessi in tutto il mondo, eliminando l’infezione ed impedendo la distribuzione di ulteriori payload dannosi. Le vittime sarebbero state ignare di questa disinstallazione fino a quando l’FBI non le ha informate tramite una notifica dell’accaduto.

Secondo un’intervista rilasciata dal direttore Christopher Wray, l’FBI ha individuato molti file relativi al funzionamento di Qakbot. Tra i vari documenti, è stato trovato un file denominato “payments.txt” contenente l’elenco delle vittime del ransomware, con i dettagli del sistema informatico, le date e l’importo del pagamento avvenuto.

“Qakbot era la botnet preferita da alcune delle più famigerate bande di ransomware, ma ora è stata eliminata. Questa operazione ha portato anche al sequestro di quasi 9 milioni di dollari in criptovaluta da parte dell’organizzazione criminale informatica Qakbot, che ora sarà messo a disposizione delle vittime”, ha affermato il procuratore americano Martin Estrada. La buona riuscita dell’operazione è stata colta ragionevolmente con entusiasmo dalle parti coinvolte, anche se ad oggi non sono stati effettuati arresti.

Wray ha aggiunto che “Tutto questo è stato reso possibile dal lavoro dedicato dell’FBI di Los Angeles, dalla nostra Divisione Cyber presso la sede dell’FBI e dai nostri partner, sia qui che all’estero. La minaccia informatica che la nostra nazione deve affrontare sta diventando ogni giorno più pericolosa e complessa. Ma il nostro successo dimostra che la nostra stessa rete e le nostre stesse capacità sono più efficaci.”

La vittoria su Quakbot potrebbe in qualche modo dover essere rivista se dovesse accadere quanto abbiamo già visto proprio con Emotet: solo 5 mesi dopo la chiusura della botnet, il malware è tornato – come si suol dire – più forte di prima e ad oggi è sempre più complesso.

Qakbot potrebbe tornare, forse diversa, probabilmente migliore.