全世界で70万台以上のデバイスに感染してさまざまなランサムウェアギャングに利用される凶悪ボットネット「Qakbot」をFBIが解体
2008年頃から存在が確認されているトロイの木馬型マルウェアの「Qakbot(Qbot、QuackBot、Pinkslipbot)」は、感染したデバイスをボットネットワークに追加してリモートで制御可能にしてしまいます。2023年8月29日、10年以上にわたりオンラインで活動してきたQakbotのボットネットワークが、アメリカの連邦捜査局(FBI)と司法省が主導する国際的な作戦で解体されたことが報告されました。
FBI, Partners Dismantle Qakbot Infrastructure in Multinational Cyber Takedown — FBI
https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown
Central District of California | Qakbot Malware Disrupted in International Cyber Takedown | United States Department of Justice
https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown
US says it and partners have taken down notorious 'Qakbot' hacking network | Reuters
https://www.reuters.com/world/us/us-says-it-has-disrupted-notorious-qakbot-hacking-network-2023-08-29/
FBI operation tricked thousands of computers infected by Qakbot into uninstalling the malware | TechCrunch
https://techcrunch.com/2023/08/29/fbi-operation-qakbot-uninstall/
トロイの木馬型マルウェアであるQakbotは、悪意のある添付ファイルやリンクを含むスパムメールを介して被害者のデバイスに感染します。被害者がファイルをダウンロードするかリンクをタップすると、Qakbotはシステムからさまざまな資格情報を盗み取ると共に追加のマルウェアを展開し、デバイスをリモート制御できるボットネットワークの一部にしてしまいます。
Qakbotは近年でも積極的に活動しており、セキュリティ企業のReliaQuestによるとQakbotは2023年1月~7月にかけて最も多く観察されたマルウェアのローダーだったそうです。Conti・ProLock・Egregor・REvil・MegaCortex・Black Bastaなど、さまざまなランサムウェアギャングがQakbotをターゲットへの最初の感染手段として利用していたと司法省は述べています。
Qakbotに感染した被害者は通常、自身のデバイスがQakbotに感染していることに気づいておらず、知らないうちにボットネットワークの一部としてマルウェアの感染に利用されていました。2008年以降、Qakbotはランサムウェア攻撃を含むさまざまなサイバー犯罪に利用されており、アメリカを含む世界中の企業に数億ドル(数百億円)もの損害を与えてきたとのこと。
FBI長官のクリストファー・レイ氏は、「このボットネットワークは、世界中の個人や企業への攻撃を実行するために使用される、数十万台ものコンピューターで構成されるコマンド&コントロールインフラストラクチャーを、これらのサイバー犯罪者に提供しました」と述べています。
今回、FBIはQakbotのボットネットワークを解体するため、アメリカ・フランス・ドイツ・オランダ・ルーマニア・ラトビア・イギリスを含む国際的な作戦を実施しました。Qakbotへの合法的なアクセス権を取得し、Qakbotボットネットワークを構成する世界中で70万台以上のデバイスを特定した上で、QakbotのトラフィックをFBIが管理するサーバーにリダイレクトしたとのこと。
そしてFBIは、Qakbotに感染したデバイスにQakbotのアンインストーラーファイルをダウンロードさせて、デバイスをQakbotボットネットワークから切り離すと共にQakbotを介したマルウェアのさらなるインストールをブロックしました。これにより、長年にわたり猛威を振るってきたQakbotボットネットワークが解体されました。また、FBIはアメリカを含む全世界で52台のサーバーや、犯罪活動で蓄積された860万ドル(約12億6000万円)の資金も押収したと報告しています。
レイ氏は、「FBIはこの広範囲にわたる犯罪サプライチェーンを無力化し、ひざまずかせて遮断しました」「アメリカが直面しているサイバー脅威は、日々危険で複雑になっています。しかし、私たちの成功は、私たち自身のネットワークと私たち自身の能力がより強力であることを証明しています」と述べました。
・関連記事
155億円もの身代金を奪ったランサムウェア「Ryuk」が用いる手法とは? - GIGAZINE
「史上類を見ないレベル」のDDoS攻撃を実行可能と評されるマルウェア「Mirai」を10代の少年3人が構築した経緯とは? - GIGAZINE
ロシアが支援するハッキンググループの新しいボットネットマルウェア「Cyclops Blink」を英国と米国が特定し警告 - GIGAZINE
インターネット通信の半分をボットが占領、30%超は悪質ボットによる通信 - GIGAZINE
史上最大規模のDDoS攻撃を行う「Mērisボットネット」が出現 - GIGAZINE
Googleが100万台のデバイスを束ねたボットネット「Glupteba」の運営者とされる2人のロシア人を訴える - GIGAZINE
ビットコインのブロックチェーンがボットネットの隠れみのになっているとの指摘 - GIGAZINE
世界中のSSHサーバーをターゲットに感染するP2Pボットネット「FritzFrog」 - GIGAZINE
北朝鮮のハッカーが盗み出した約60億円相当のビットコインを現金化しようとしているとFBIが警告 - GIGAZINE
ポムポムプリンを名乗るサイバー犯罪フォーラム「BreachForums」の管理者をFBIが逮捕 - GIGAZINE
・関連コンテンツ