Tweet
Ngày 30 tháng 08 năm 2023, FBI Mỹ đã tiến hành hợp tác với nhiều quốc gia để cùng nhau tiêu diệt Qakbot, một trong những botnet khét tiếng nhất thế giới.
Theo FBI, trong một chiến dịch đa quốc gia mang tên "Duck Hunt" do Hoa Kỳ dẫn đầu đã tiêu diệt thành công Qakbot, mạng lưới botnet với hơn 700,000 máy tính trên toàn thế giới.
(Minh họa)
Kẻ tấn công thường sử dụng thư rác để tấn công các nạn nhân của Qakbot bằng cách gửi email chứa mã độc đính kèm hoặc liên kết với trang mạng độc hại. Khi nạn nhân tải xuống máy có đính kèm mã độc hoặc nhấp vào sự kết nối, Qakbot sẽ xâm nhập vào máy tính của họ, biến thành một botnet thuộc một hệ thống mạng máy tính bị nhiễm độc và được điều khiển từ xa bởi kẻ tấn công.
Sau đó, các tội phạm mạng có thể cài đặt thêm các phần mềm độc hại khác trên thiết bị của nạn nhân, chẳng hạn như phần mềm Ransomware, mã độc thực thi khác, v...v...
Những phần mềm độc hại này có thể mã hóa thông tin dữ liệu, phá hủy hệ thống hoặc đánh cắp thông tin cá nhân, tạo ra những sự tổn thất và rủi ro nghiêm trọng cho nạn nhân.
Để tiêu diệt hệ thống mạng botnet này, FBI đã chuyển hướng Qakbot đến các máy chủ được kiểm soát bởi cơ quan này, hướng dẫn các máy tính bị nhiễm mã độc ở Mỹ và các quốc gia khác tải xuống phần mềm để gỡ bỏ ra Qakbot. Chương trình cài đặt cũng sẽ tách các máy tính bị nhiễm ra khỏi mạng botnet, "ngăn chặn việc cài đặt thêm phần mềm độc hại thông qua Qakbot".
Thông báo được đăng tải trên tài khoản chính thức của FBI
Bộ Tư Pháp Hoa Kỳ (DOJ) cho biết, hành động này chỉ giới hạn trong việc gỡ bỏ ra phần mềm độc hại do các thành viên Qakbot cài đặt, nhưng "không mở rộng đến việc sửa chữa các phần mềm độc hại khác đã được cài đặt trên máy tính của nạn nhân".
Ngoài Mỹ, chiến dịch "Operation Duck Hunt" này còn nhận được sự phối hợp của nhiều cơ quan như Cơ quan Cảnh sát Hình sự châu Âu (Europol), Pháp, Đức, Hoà Lan, Anh, Romania và Latvia. Phía Hoa Kỳ cho biết mạng botnet này đã gây thiệt hại hàng tỷ đô la và đã gây nhiễm độc hơn 200,000 máy tính ở Mỹ.
"Duck Hunt" là chiến dịch hợp tác quốc tế giữa các tổ chức thực thi pháp luật và cơ quan an ninh mạng từ nhiều quốc gia khác nhau. Mục tiêu của chiến dịch này là giải tán mạng botnet Qakbot và ngăn chặn hoạt động tội phạm mạng có liên quan đến nó. Dưới sự hợp tác nỗ lực chung, các quốc gia đang cố gắng giảm thiểu sự lan truyền của Qakbot và cung cấp giải pháp hiệu quả để gỡ bỏ nó khỏi các máy tính bị nhiễm độc.
Qakbot được phát hiện ra từ năm 2008, mạng lưới botnet này sử dụng bởi một số nhóm ransomware nổi tiếng như Conti, REvil, MegaCortex và các nhóm tin tặc khác. Như một phần của chiến dịch Duck Hunt, Bộ Tư Pháp Hoa Kỳ cũng đã tịch thu khoản tiền mã hóa trị giá 8,6 triệu USD từ các hoạt động tống tiền của bọn tin tặc.
FBI cũng cung cấp cho Have I Been Pwned các thông tin số liệu, thông tin đăng nhập bị ảnh hưởng và xâm nhập được FBI phát hiện trong quá trình điều tra, từ đó cho phép cư dân mạng nhập email của họ trên trang web để kiểm tra xem liệu họ có bị dính phải botnet hoặc từ các cuộc tấn công mạng hay không. Cảnh sát Quốc gia Hoà Lan cũng đã thêm các thông tin đăng nhập bị ảnh hưởng vào trang web Check Your Hack của họ.
Trong một bản tuyên bố, Giám đốc FBI Christopher Wray cho biết các nạn nhân rất đa dạng, từ các tổ chức tài chính ở phía Đông Hoa Kỳ đến một công ty nhận thầu cơ sở hạ tầng quan trọng của chính phủ ở miền Trung Tây cho đến một công ty sản xuất thiết bị y tế ở Bờ Tây. Ông nói: "FBI đã vô hiệu hóa chuỗi cung ứng tội phạm sâu rộng này, ngăn chặn chúng ngay lập tức".
Trước đó, hồi tháng 1/2023, FBI có thông báo cho biết, cơ quan này đã bí mật tấn công và triệt phá nhóm tin tặc Hive, qua đó chặn đứng âm mưu sử dụng mã độc đòi tiền chuộc trên 130 triệu USD nhằm vào trên 300 nạn nhân của bọn này.
Bộ trưởng Tư pháp Mỹ Merrick Garland, Giám đốc FBI Christopher Wray và Thứ trưởng Bộ Tư Pháp Lisa Monaco cho biết, các chuyên gia kỹ thuật thông tin của chính phủ đã bí mật xâm nhập vào hệ thống của nhóm tin tặc Hive kể từ tháng 7 năm ngoái. Nhà chức trách đã theo dõi chi tiết hoạt động của nhóm này, đồng thời thu thập các khóa kỹ thuật số mà chúng sử dụng để truy cập dữ liệu của các tổ chức mà chúng nhắm làm mục tiêu. Nhờ vậy, cơ quan chức năng có thể kịp thời báo động trước cho các nạn nhân để giúp cho họ thực hiện các biện pháp bảo vệ hệ thống, trước khi bọn tin tặc Hive yêu cầu nộp tiền chuộc.
Trang web của Hive đã bị đánh sập và chỉ hiển thị ra thông báo với nội dung "FBI đã tịch thu trang web này" trong chiến dịch phối hợp thực thi pháp luật nhằm ngăn chặn nhóm tin tặc Hive sử dụng mã độc tống tiền. Bên cạnh đó, Cảnh sát Hình sự Liên bang Đức và Đơn vị Tội phạm kỹ thuật cao quốc gia của Hoà Lan cũng đã tiến hành thu giữ các máy chủ của Hive.
Hive là nhóm tin tặc chuyên sử dụng mã độc để đòi tiền chuộc. Chuyên gia nghiên cứu Brett Callow của công ty an ninh mạng Emsisoft đánh giá đây là một trong những nhóm tội phạm mạng hoạt động mạnh nhất. Vụ án triệt phá nhóm tin tặc Hive khác với một số vụ mà Bộ Tư Pháp Mỹ đã công bố trong những năm gần đây, đơn cử như vụ tấn công mạng năm 2021 nhằm vào Colonial Pipeline, một công ty vận hành đường ống dẫn nhiên liệu lớn nhất của Mỹ. Trong vụ đó, Bộ Tư Pháp Mỹ đã thu giữ khoảng 2,3 triệu USD tiền chuộc ở dạng tiền điện tử sau khi công ty này trả tiền cho tin tặc. Trong vụ việc lần này, nhà chức trách đã kịp thời cảnh cáo trước khi bọn Hive đòi tiền chuộc.
Theo Bộ Tư Pháp Mỹ, trong những năm qua, Hive đã tấn công trên 1,500 nạn nhân tại 80 quốc gia trên thế giới và thu về số tiền chuộc trị giá hơn 100 triệu USD.
Theo FBI, trong một chiến dịch đa quốc gia mang tên "Duck Hunt" do Hoa Kỳ dẫn đầu đã tiêu diệt thành công Qakbot, mạng lưới botnet với hơn 700,000 máy tính trên toàn thế giới.
(Minh họa)
Kẻ tấn công thường sử dụng thư rác để tấn công các nạn nhân của Qakbot bằng cách gửi email chứa mã độc đính kèm hoặc liên kết với trang mạng độc hại. Khi nạn nhân tải xuống máy có đính kèm mã độc hoặc nhấp vào sự kết nối, Qakbot sẽ xâm nhập vào máy tính của họ, biến thành một botnet thuộc một hệ thống mạng máy tính bị nhiễm độc và được điều khiển từ xa bởi kẻ tấn công.
Sau đó, các tội phạm mạng có thể cài đặt thêm các phần mềm độc hại khác trên thiết bị của nạn nhân, chẳng hạn như phần mềm Ransomware, mã độc thực thi khác, v...v...
Những phần mềm độc hại này có thể mã hóa thông tin dữ liệu, phá hủy hệ thống hoặc đánh cắp thông tin cá nhân, tạo ra những sự tổn thất và rủi ro nghiêm trọng cho nạn nhân.
Để tiêu diệt hệ thống mạng botnet này, FBI đã chuyển hướng Qakbot đến các máy chủ được kiểm soát bởi cơ quan này, hướng dẫn các máy tính bị nhiễm mã độc ở Mỹ và các quốc gia khác tải xuống phần mềm để gỡ bỏ ra Qakbot. Chương trình cài đặt cũng sẽ tách các máy tính bị nhiễm ra khỏi mạng botnet, "ngăn chặn việc cài đặt thêm phần mềm độc hại thông qua Qakbot".
Thông báo được đăng tải trên tài khoản chính thức của FBI
Bộ Tư Pháp Hoa Kỳ (DOJ) cho biết, hành động này chỉ giới hạn trong việc gỡ bỏ ra phần mềm độc hại do các thành viên Qakbot cài đặt, nhưng "không mở rộng đến việc sửa chữa các phần mềm độc hại khác đã được cài đặt trên máy tính của nạn nhân".
Ngoài Mỹ, chiến dịch "Operation Duck Hunt" này còn nhận được sự phối hợp của nhiều cơ quan như Cơ quan Cảnh sát Hình sự châu Âu (Europol), Pháp, Đức, Hoà Lan, Anh, Romania và Latvia. Phía Hoa Kỳ cho biết mạng botnet này đã gây thiệt hại hàng tỷ đô la và đã gây nhiễm độc hơn 200,000 máy tính ở Mỹ.
"Duck Hunt" là chiến dịch hợp tác quốc tế giữa các tổ chức thực thi pháp luật và cơ quan an ninh mạng từ nhiều quốc gia khác nhau. Mục tiêu của chiến dịch này là giải tán mạng botnet Qakbot và ngăn chặn hoạt động tội phạm mạng có liên quan đến nó. Dưới sự hợp tác nỗ lực chung, các quốc gia đang cố gắng giảm thiểu sự lan truyền của Qakbot và cung cấp giải pháp hiệu quả để gỡ bỏ nó khỏi các máy tính bị nhiễm độc.
Qakbot được phát hiện ra từ năm 2008, mạng lưới botnet này sử dụng bởi một số nhóm ransomware nổi tiếng như Conti, REvil, MegaCortex và các nhóm tin tặc khác. Như một phần của chiến dịch Duck Hunt, Bộ Tư Pháp Hoa Kỳ cũng đã tịch thu khoản tiền mã hóa trị giá 8,6 triệu USD từ các hoạt động tống tiền của bọn tin tặc.
FBI cũng cung cấp cho Have I Been Pwned các thông tin số liệu, thông tin đăng nhập bị ảnh hưởng và xâm nhập được FBI phát hiện trong quá trình điều tra, từ đó cho phép cư dân mạng nhập email của họ trên trang web để kiểm tra xem liệu họ có bị dính phải botnet hoặc từ các cuộc tấn công mạng hay không. Cảnh sát Quốc gia Hoà Lan cũng đã thêm các thông tin đăng nhập bị ảnh hưởng vào trang web Check Your Hack của họ.
Trong một bản tuyên bố, Giám đốc FBI Christopher Wray cho biết các nạn nhân rất đa dạng, từ các tổ chức tài chính ở phía Đông Hoa Kỳ đến một công ty nhận thầu cơ sở hạ tầng quan trọng của chính phủ ở miền Trung Tây cho đến một công ty sản xuất thiết bị y tế ở Bờ Tây. Ông nói: "FBI đã vô hiệu hóa chuỗi cung ứng tội phạm sâu rộng này, ngăn chặn chúng ngay lập tức".
Trước đó, hồi tháng 1/2023, FBI có thông báo cho biết, cơ quan này đã bí mật tấn công và triệt phá nhóm tin tặc Hive, qua đó chặn đứng âm mưu sử dụng mã độc đòi tiền chuộc trên 130 triệu USD nhằm vào trên 300 nạn nhân của bọn này.
Bộ trưởng Tư pháp Mỹ Merrick Garland, Giám đốc FBI Christopher Wray và Thứ trưởng Bộ Tư Pháp Lisa Monaco cho biết, các chuyên gia kỹ thuật thông tin của chính phủ đã bí mật xâm nhập vào hệ thống của nhóm tin tặc Hive kể từ tháng 7 năm ngoái. Nhà chức trách đã theo dõi chi tiết hoạt động của nhóm này, đồng thời thu thập các khóa kỹ thuật số mà chúng sử dụng để truy cập dữ liệu của các tổ chức mà chúng nhắm làm mục tiêu. Nhờ vậy, cơ quan chức năng có thể kịp thời báo động trước cho các nạn nhân để giúp cho họ thực hiện các biện pháp bảo vệ hệ thống, trước khi bọn tin tặc Hive yêu cầu nộp tiền chuộc.
Trang web của Hive đã bị đánh sập và chỉ hiển thị ra thông báo với nội dung "FBI đã tịch thu trang web này" trong chiến dịch phối hợp thực thi pháp luật nhằm ngăn chặn nhóm tin tặc Hive sử dụng mã độc tống tiền. Bên cạnh đó, Cảnh sát Hình sự Liên bang Đức và Đơn vị Tội phạm kỹ thuật cao quốc gia của Hoà Lan cũng đã tiến hành thu giữ các máy chủ của Hive.
Hive là nhóm tin tặc chuyên sử dụng mã độc để đòi tiền chuộc. Chuyên gia nghiên cứu Brett Callow của công ty an ninh mạng Emsisoft đánh giá đây là một trong những nhóm tội phạm mạng hoạt động mạnh nhất. Vụ án triệt phá nhóm tin tặc Hive khác với một số vụ mà Bộ Tư Pháp Mỹ đã công bố trong những năm gần đây, đơn cử như vụ tấn công mạng năm 2021 nhằm vào Colonial Pipeline, một công ty vận hành đường ống dẫn nhiên liệu lớn nhất của Mỹ. Trong vụ đó, Bộ Tư Pháp Mỹ đã thu giữ khoảng 2,3 triệu USD tiền chuộc ở dạng tiền điện tử sau khi công ty này trả tiền cho tin tặc. Trong vụ việc lần này, nhà chức trách đã kịp thời cảnh cáo trước khi bọn Hive đòi tiền chuộc.
Theo Bộ Tư Pháp Mỹ, trong những năm qua, Hive đã tấn công trên 1,500 nạn nhân tại 80 quốc gia trên thế giới và thu về số tiền chuộc trị giá hơn 100 triệu USD.
Qakbot, còn được gọi là Qbot hoặc Pinkslipbot, là một loại mã độc phức tạp và nguy hiểm thuộc họ Trojan. Nó đã tồn tại từ năm 2008 và được biết đến là một trong những mối đe dọa mạng lâu đời và phổ biến. Qakbot đã trải qua nhiều phiên bản khác nhau và đã cập nhật để tránh sự phát hiện của giới chức thẫm quyền và chống lại các biện pháp bảo mật.
Qakbot ban đầu được thiết kế để đánh cắp thông tin cá nhân và tài khoản ngân hàng từ các máy tính bị nhiễm mã độc. Nó sử dụng các kỹ thuật phức tạp như keylogging (ghi lại những gì mà người dùng gõ trên bàn phím), truy cập từ xa và lấy cắp các thông tin dữ liệu từ các trình duyệt và ứng dụng liên quan đến vấn đề tài chính.
Ngoài việc đánh cắp các thông tin, Qakbot cũng có khả năng phân tán lan truyền mã độc và tạo ra mạng botnet. Khi một máy tính bị nhiễm Qakbot, nó có thể trở thành một "máy con" trong mạng botnet, cho phép kẻ tấn công từ xa điều khiển nó và sử dụng nó cho các hoạt động độc hại khác như phát tán thư rác, tấn công từ chối dịch vụ (DDoS) và lây nhiễm các loại mã độc khác.
Qakbot đã được sử dụng bởi nhiều nhóm tội phạm mạng, đặc biệt là các nhóm ransomware. Nó đã được liên kết với các cuộc tấn công ransomware như Conti, REvil và MegaCortex, trong đó tập tin Qakbot được sử dụng để nhiễm độc và lây lan mã độc ransomware trên mạng nạn nhân.
Qakbot thường được phân phối thông qua các cuộc tấn công phishing, thư rác có chứa đính kèm hay liên kết mã độc hại. Người dùng khi mở tài liệu hoặc nhấp vào liên kết này sẽ dẫn đến việc bị nhiễm độc Qakbot trên máy tính của họ.
Đối với các tổ chức và cá nhân, việc duy trì các biện pháp bảo mật mạng mạnh mẽ, cập nhật phần mềm và hạn chế truy cập vào các nguồn không đáng tin cậy là rất quan trọng để ngăn chặn sự lây lan và tác động của Qakbot.
Qakbot ban đầu được thiết kế để đánh cắp thông tin cá nhân và tài khoản ngân hàng từ các máy tính bị nhiễm mã độc. Nó sử dụng các kỹ thuật phức tạp như keylogging (ghi lại những gì mà người dùng gõ trên bàn phím), truy cập từ xa và lấy cắp các thông tin dữ liệu từ các trình duyệt và ứng dụng liên quan đến vấn đề tài chính.
Ngoài việc đánh cắp các thông tin, Qakbot cũng có khả năng phân tán lan truyền mã độc và tạo ra mạng botnet. Khi một máy tính bị nhiễm Qakbot, nó có thể trở thành một "máy con" trong mạng botnet, cho phép kẻ tấn công từ xa điều khiển nó và sử dụng nó cho các hoạt động độc hại khác như phát tán thư rác, tấn công từ chối dịch vụ (DDoS) và lây nhiễm các loại mã độc khác.
Qakbot đã được sử dụng bởi nhiều nhóm tội phạm mạng, đặc biệt là các nhóm ransomware. Nó đã được liên kết với các cuộc tấn công ransomware như Conti, REvil và MegaCortex, trong đó tập tin Qakbot được sử dụng để nhiễm độc và lây lan mã độc ransomware trên mạng nạn nhân.
Qakbot thường được phân phối thông qua các cuộc tấn công phishing, thư rác có chứa đính kèm hay liên kết mã độc hại. Người dùng khi mở tài liệu hoặc nhấp vào liên kết này sẽ dẫn đến việc bị nhiễm độc Qakbot trên máy tính của họ.
Đối với các tổ chức và cá nhân, việc duy trì các biện pháp bảo mật mạng mạnh mẽ, cập nhật phần mềm và hạn chế truy cập vào các nguồn không đáng tin cậy là rất quan trọng để ngăn chặn sự lây lan và tác động của Qakbot.
Attached Files
Comment