Qakbot マルウェアが国際的なサイバー攻撃で妨害

FBIサイバークライム情報

2023年8月29日

Qakbot マルウェアは 70 万台以上の被害者のコンピュータに感染し、ランサムウェアの展開を促進し、数億ドルの被害をもたらした
ロサンゼルス– 司法省は本日、Qakbot として知られるボットネットとマルウェアを妨害し、そのインフラストラクチャを停止するため、米国、フランス、ドイツ、オランダ、英国、ルーマニア、ラトビアを含む多国籍作戦を発表しました。

Qakbot の悪意のあるコードは被害者のコンピュータから削除され、それ以上の害を防ぐことができます。同省はまた、不法利益として860万ドル以上の仮想通貨を押収したことも発表した。

この措置は、サイバー犯罪者がランサムウェア、金融詐欺、その他のサイバーを利用した犯罪活動を行うために利用するボットネット インフラストラクチャに対する、米国主導による最大規模の財務的および技術的混乱を表しています。

メリック・B・ガーランド司法長官は、「Qakbotのようなマルウェアを利用して罪のない被害者から個人データを盗むサイバー犯罪者は、法の範囲を超えて活動していないことを今日思い知らされた」と述べた。「司法省は国際パートナーと協力してQakbotのインフラをハッキングし、米国および世界中の被害者のコンピュータからマルウェアをアンインストールする積極的なキャンペーンを開始し、恐喝された資金860万ドルを押収した。」
「司法省とFBIが主導する国際協力の結果、世界中で被害者に多大な損害を与えた史上最も悪名高いボットネットの1つであるQakbotの解体が実現した」と米国検事のマーティン・エストラーダ氏は述べた。「Qakbot は、最も悪名高いランサムウェア ギャングの一部が選んだボットネットでしたが、私たちはこれを排除しました。この作戦により、サイバー犯罪組織 Qakbot から約 900 万ドルの仮想通貨が押収され、被害者はその仮想通貨を利用できるようになります。私の事務所は被害者の権利を保護し立証することに重点を置いており、コンピューターを利用した犯罪に対するこの多面的な攻撃は、国家を危害から守るという私たちの取り組みを示しています。」
「『ダックハント』作戦チームは科学技術の専門知識を活用するだけでなく、文字通り世界のサイバー犯罪サプライチェーンに餌を与えていた高度に構造化された多層ボットネットワークであるQakbotを特定し、機能不全に陥らせるために創意工夫と情熱にも頼った。」 FBIロサンゼルス現地事務所担当次官ドナルド・オールウェイ氏はこう語る。「これらの措置により、侵害されたパーソナルコンピュータから重要なインフラストラクチャに対する壊滅的な攻撃に至るまで、あらゆるレベルで数え切れないほどのサイバー攻撃を防ぐことができます。」

裁判所文書によると、Qakbot は「Qbot」や「Pinklipbot」などさまざまな名前でも知られ、サイバー犯罪組織によって制御され、世界中の重要な産業を標的にするために使用されています。Qakbot マルウェアは主に、悪意のある添付ファイルまたはハイパーリンクを含むスパム電子メール メッセージを通じて被害者のコンピュータに感染します。Qakbot は、被害者のコンピュータに感染すると、ランサムウェアなどの追加のマルウェアを感染したコンピュータに配信する可能性があります。Qakbot は、近年、Conti、ProLock、Egregor、REvil、MegaCortex、Black Basta など、多くの多作のランサムウェア グループによって最初の感染手段として使用されています。その後、ランサムウェア攻撃者は被害者を恐喝し、被害者のコンピュータ ネットワークへのアクセスを戻す前にビットコインでの身代金の支払いを求めます。

これらのランサムウェア グループは、イリノイ州に本拠を置く電力エンジニアリング会社を含む、世界中の企業、医療提供者、政府機関に重大な損害を与えました。アラバマ、カンザス、メリーランドに拠点を置く金融サービス組織。メリーランド州に本拠を置く防衛メーカー。南カリフォルニアの食品流通会社です。捜査当局は、2021年10月から2023年4月までの間に、Qakbot管理者が被害者から支払われた身代金約5,800万ドルに相当する手数料を受け取ったという証拠を発見した。

Qakbot マルウェアに感染した被害者のコンピュータはボットネット (感染したコンピュータのネットワーク) の一部であるため、加害者は感染したすべてのコンピュータを連携してリモート制御できることになります。被害を受けたコンピュータの所有者やオペレータは通常、感染に気づいていません。
削除の一環として、FBI は Qakbot インフラストラクチャにアクセスし、Qakbot に感染したと思われる世界中の 70 万台以上のコンピューター (米国内の 20 万台以上を含む) を特定することができました。ボットネットを破壊するために、FBI は Qakbot ボットネット トラフィックを FBI が管理するサーバーにリダイレクトし、FBI が管理するサーバーを経由することができました。これにより、米国などの感染したコンピューターに対し、Qakbot マルウェアをアンインストールする法執行機関が作成したファイルをダウンロードするよう指示されました。このアンインストーラーは、被害者のコンピューターを Qakbot ボットネットから切り離し、Qakbot を介してマルウェアがさらにインストールされるのを防ぐように設計されています。

この法執行措置の範囲は、Qakbot 攻撃者によって被害者のコンピュータにインストールされた情報に限定されていました。被害者のコンピュータに既にインストールされている他のマルウェアの修復には及ばず、感染したコンピュータの所有者やユーザーの情報へのアクセスや情報の変更も含まれていませんでした。

Zscaler から貴重な技術支援が提供されました。FBI は、被害者の通知と修復を支援するために、サイバーセキュリティおよびインフラストラクチャ セキュリティ庁、Shadowserver、Microsoft Digital Crimes Unit、National Cyber​​ Forensics and Training Alliance、および Have I Been Pwned と提携しています。

FBIロサンゼルス出張所、カリフォルニア中央地区連邦検察局、刑事局コンピューター犯罪・知的財産課(CCIPS)がユーロジャストと緊密に協力してこの作戦を実施した。ユーロポール、フランス警察サイバー犯罪中央局とパリ検察局サイバー犯罪課、ドイツ連邦刑事警察とフランクフルト/マイン総検事局、オランダ国家警察と国家検察庁など、いくつかの管轄区域の捜査官と検察官が重要な支援を提供した。英国国家犯罪庁、ルーマニア国家警察、ラトビア国家警察。司法省国際問題局とFBIミルウォーキー現地事務所は多大な支援を提供した。

サイバーおよび知的財産犯罪部門の米国検事補カルドゥーン・ショバキ氏とローレン・レストレポ氏、CCIPS 裁判検事のジェシカ・ペック氏、ライアン・K・J・ディッキー氏、ベンジャミン・プロクター氏。
被害者向けを含む追加情報とリソースは、次の Web サイトで見つけることができます。追加情報とリソースが利用可能になると更新されます: https://www.justice.gov/usao-cdca/divisions/national-security-division /qakbot-リソース