FBI瓦解由70萬臺受駭電腦組成的Qakbot殭屍網路

2023-09-04

美國聯邦調查局（FBI）及司法部（DOJ）周二（8/29）宣布，已與多個國家聯手，共同瓦解了由全球70萬部受駭電腦組成的Qakbot殭屍網路，另也扣押了價值約860萬美元的加密貨幣不法所得。

Qakbot現身於2007年，初期只是個金融木馬程式，主要是竊取受害者的金融憑證與其它財務資訊，之後的變種發展出類似蠕蟲的能力，還能用來下載其它惡意程式，以記錄使用者的鍵盤輸入、建立系統後門，或是植入勒索軟體，並具備躲避偵測及避免反向分析的功能。

Qakbot主要是藉由於垃圾郵件中夾帶惡意附加檔案或連結來散布，使用者一旦開啟檔案或點選連結，它便會傳送其它的惡意程式，而受駭電腦也會立刻成為殭屍網路的成員，允許駭客自遠端操控。

FBI局長Christopher Wray指出，他們徹底掃蕩與Qakbot有關的大規模犯罪供應鏈，而事實上，最近幾年曾利用Qakbot的勒索軟體便涵蓋了Conti、ProLock、Egregor、REvil、MegaCortex與Black Basta，受害者除了個人之外，也包含一般企業、健康照護供應商，以及政府機關。

在70萬臺感染Qakbot的受駭電腦中，有超過20萬臺位於美國。此次與美國聯手的國家則有法國、德國、紐西蘭、羅馬尼亞、拉脫維亞與英國。

各國執法機關瓦解Qakbot的方式，是將Qakbot的流量移轉到由FBI所控制的伺服器上，並指示受駭電腦下載一個反安裝檔案，以於電腦上移除Qakbot。值得注意的是，該反安裝檔案只能移除Qakbot，並不能移除其它已被安裝在受駭電腦上的惡意程式。

由於受害者多半不知道自己感染了Qakbot，DOJ建議使用者可透過Have I Been Pwned或荷蘭警方所設立的網站來查詢。

（相關資訊來自iThome）