洛杉矶(美联社)–美国官员周二表示,FBI及其欧洲合作伙伴渗透并接管了一个长达15年的主要全球恶意软件网络,该网络被用于各种网络犯罪,包括发动令人瘫痪的勒索软件攻击。
然后,他们远程从成千上万的受感染计算机中删除了该恶意软件代理–被称为Qakbot。
网络安全专家表示,他们对巧妙拆除网络的做法印象深刻,但警告说针对网络犯罪的任何挫折可能只是暂时的。
“几乎每一个经济部门都成为Qakbot的受害者,”洛杉矶的美国检察官Martin Estrada在宣布端掉行动时说。他说,自2008年首次以银行木马的形式出现以来,这个犯罪网络已经促成了约40起勒索软件攻击,调查人员表示,这使Qakbot管理员获得了约5800万美元。
Qakbot的勒索软件受害者包括伊利诺伊州的一家工程公司、亚拉巴马州和堪萨斯州的金融服务机构,以及马里兰州的国防制造商和南加州的食品分销公司,Estrada说。
官员表示,已查获或冻结860万美元的加密货币,但没有宣布任何逮捕。
Estrada说,调查仍在进行中。他不会透露管理恶意软件的管理员的所在地,该恶意软件将受感染的机器组合成僵尸计算机网络。网络安全研究人员表示,他们被认为在俄罗斯和/或其他前苏联国家。
官员估计,这种所谓的恶意软件加载器,也被称为Pinkslipbot和Qbot,自2008年首次出现以来,造成了数亿美元的损失。他们说,世界上几乎所有国家的数百万人都受到了影响。
通常通过钓鱼电子邮件感染传递,Qakbot为犯罪黑客提供了对受侵害计算机的初始访问权限。然后,他们可以部署额外的有效载荷,包括勒索软件,窃取敏感信息或收集有关受害者的情报,以方便进行金融欺诈和诈骗等犯罪活动。
Qakbot网络“从字面上为全球网络犯罪供应链提供食物”,FBI洛杉矶办事处助理主任Donald Alway说,称其为“历史上最具破坏性的网络犯罪工具之一”。2023年上半年检测到的最常见恶意软件,Qakbot影响了10%的企业网络,并占全球攻击的约30%,两家网络安全公司发现。这样的“初始访问”工具允许勒索软件团伙跳过渗透计算机网络的初始步骤,使它们成为这些大多数说俄语的犯罪分子的重要促成因素,这些犯罪分子通过窃取数据并破坏学校、医院、地方政府和企业而在全球范围内造成了破坏。
从周五开始的代号为“Duck Hunt”的行动中,FBI与欧洲刑警组织以及法国、英国、德国、荷兰、罗马尼亚和拉脱维亚的执法和司法合作伙伴查获了50多个Qakbot服务器,并确定了70多万台受感染的计算机,其中20多万台在美国–有效地切断了犯罪分子与其猎物的联系。
FBI然后利用被查获的Qakbot基础设施远程分发更新,从成千上万的受感染计算机中删除了恶意软件。一位高级FBI官员在要求不透露其姓名的情况下对记者进行了简报,并称该数字“流动”,并警告说其他恶意软件可能仍留在从Qakbot中解放出来的机器上。
自1月份FBI通过“黑客入侵黑客”的行动端掉了多产的Hive勒索软件团伙以来,这是FBI对网络犯罪分子取得的最大成功。
“这是一个令人印象深刻的端掉行动。Qakbot在受害者人数方面是最大的僵尸网络之一,”Hold Security创始人亚历克斯·霍尔登说。但他说,它可能是其在过去几年中的惊人增长所带来的成功的牺牲品。“如今大型僵尸网络倾向于内爆,因为太多的威胁行为者正在开采这些数据用于各种形式的滥用。”
网络安全专家切斯特·威斯尼夫斯基(Chester Wisniewski)在Sophos表示,虽然勒索软件攻击可能暂时下降,但可以预期犯罪分子要么在其他地方重建基础设施,要么转移到其他僵尸网络。
“这将对一些团伙在短期内造成很大的破坏,但它不会阻止它被重新启动,”他说。“尽管招募70万台个人电脑需要很长时间。”
—巴贾克报道于波士顿。
