Nesta semana, o FBI anunciou que desmantelou a operação multinacional de hackers e ransomware Qakbot (também conhecido como Qbot), o qual afetou 700 mil computadores em todo o mundo – incluindo instituições financeiras, prestadores de serviços governamentais e fabricantes de dispositivos médicos.
O malware Qakbot infectou as vítimas por meio de e-mails de spam com anexos e links maliciosos. Também serviu como plataforma para operadores de ransomware. Uma vez infectado, o computador das vítimas tornou-se parte da maior operação de botnet do Qakbot, infectando ainda mais vítimas.
Os pesquisadores da Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, acompanham o Qakbot e suas operações há anos. Neste ano, o Qakbot foi destacado no Relatório Semestral de Cibersegurança da Check Point Software de 2023 como o malware mais prevalente em todo o mundo.
“Estamos rastreando o Qakbot há algum tempo e esta operação de remoção do FBI é um passo importante para interromper uma grande operação de crime cibernético. Parabenizamos o FBI e os seus parceiros pelos esforços nesta operação e continuaremos a monitorar o impacto a longo prazo sobre os cibercriminosos. No entanto, ainda nos resta saber se foi uma remoção total ou se os operadores poderão voltar. Assim, reforçamos a todos a necessidade de prosseguirmos com campanhas de conscientização sobre phishing, que se mantenham atualizados com patches de segurança e adotem soluções antiransomware adequadas”, ressalta Sergey Shykevich, gerente de Inteligência de Ameaças da Check Point Research (CPR).
Qakbot: um canivete suíço
Operado por cibercriminosos do Leste Europeu, o Qbot, também conhecido como Qakbot, está em operação desde 2008. É o malware mais comumente detectado, com 11% das redes corporativas em todo o mundo impactadas no primeiro semestre de 2023.
O Qakbot é complexo e um malware multifuncional, semelhante a um canivete suíço. Ele permite que os cibercriminosos roubem dados diretamente (credenciais de contas financeiras, cartões de pagamento, entre outros dados) de PCs, ao mesmo tempo que serve como uma plataforma de acesso inicial para infectar as redes das vítimas com malware e ransomware adicionais.
O Qakbot é distribuído principalmente por e-mails de phishing e é altamente adaptável e flexível, permitindo contornar medidas de segurança. Ele usa tipos de arquivo, incluindo OneNote, PDF, HTML, ZIP, LNK e muito mais para infectar máquinas.
Desde março de 2023, a equipe da CPR observou uma diminuição nos ataques Qbot em todo o mundo e nos EUA onde o porcentual de organizações impactadas pelo Qbot diminuiu 62% em agosto em comparação com março. Ainda em agosto, o porcentual de organizações nos Estados Unidos impactadas pelo Qbot atingiu 2,1%, enquanto globalmente impactou 4,9% das organizações (uma diminuição de 52% em relação a março). E, na última semana, houve uma diminuição de 30% de organizações impactadas pelo Qbot em todo o mundo.
No entanto, vale lembrar que, em julho de 2023, o ranking mensal de ameaças do Brasil manteve como principal malware o Qbot, pelo oitavo mês consecutivo na liderança, com impacto de 12,73%, um índice que continua sendo mais que o dobro do impacto global (5,34%). O malware Qbot tem sido usado persistentemente para roubo de credenciais bancárias no Brasil.
Mesmo com a queda detectada no mundo e ainda sem os porcentuais do Brasil atualizados em agosto, os dados atuais do Qbot observados nesta semana pela equipe da Check Point Research mostram que a região mais impactada pelo Qbot é a América Latina, com 22,3% de organizações impactadas durante 2023, seguida pela África com 22,2% de organizações impactadas e APAC com 12%.
Em relação aos setores, Educação/Pesquisa foi o que mais sofreu em 2023 no mundo com ataques de Qbot, com 23% das organizações impactadas, seguido pelo Governo/Militar com 18% das organizações impactadas e pela Saúde com 14%.
Os especialistas da Check Point Software reforçam como as organizações podem prevenir ataques de ransomware. Embora os ataques cibernéticos estejam aumentando, a prevenção é possível, e as recomendações são:
● Investir em campanhas de conscientização sobre phishing para que os funcionários possam identificar e denunciar facilmente tentativas de phishing. Os e-mails de phishing continuam a ser a tática de maior sucesso dos hackers.
● Manter-se atualizado com patches de segurança para garantir que os computadores tenham sempre a proteção mais recente.
● Adotar soluções antiransomware que monitoram continuamente comportamentos suspeitos para tomar medidas e interromper a criptografia antes que ocorram maiores danos no ambiente corporativo.
