Qakbot僵尸网络：被“猎鸭行动”成功铲除，损失超过5.8千万美元

Qakbot，又称Qbot和Pinkslipbot，是迄今为止规模最大、存在时间最长的僵尸网络之一，但在FBI领导的一系列联合执法行动（被称为“猎鸭行动”）之后，它的命运发生了改变。

根据保守估计，执法机构已经将这个僵尸网络与至少40起面向企业、医疗保健提供商和政府机构的勒索软件攻击联系在一起，给这些受害者带来了数亿美元的损失。仅在过去的18个月里，这些损失就已经超过了5800万美元。

多年来，Qakbot一直被用作各种勒索软件团伙以及其附属公司或运营商的初始感染载体，这些团伙包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex以及最近崭露头角的Black Basta。

FBI局长克里斯托弗·雷（Christopher Wray）指出：“受害者群体包括东海岸的金融机构、中西部一家重要的基础设施承包商以及西海岸的一家医疗设备制造商。”

他还补充说：“这个僵尸网络为这些网络犯罪分子提供了一个由数十万台计算机组成的命令和控制基础设施，用来对全球个人和企业进行攻击。”

控制 Qakbot 管理员电脑后被删除

Qakbot僵尸网络被FBI和国际执法机构成功拆除

Qakbot，又称Qbot和Pinkslipbot，是迄今为止规模最大、存在时间最长的僵尸网络之一，但在FBI牵头的一系列国际执法行动中，这个网络终于被摧毁。

据估计，Qakbot僵尸网络感染了超过700,000台计算机，其中超过200,000台位于美国。执法部门将这个网络与至少40起面向企业、医疗保健提供商和政府机构的勒索软件攻击联系在一起，给受害者带来了数亿美元的损失。仅在过去18个月里，损失已经超过了5800万美元。

Qakbot多年来一直是各种勒索软件团伙的初始感染载体，包括Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex和最近崭露头角的Black Basta。

在执法行动中，FBI在一台Qakbot管理员使用的计算机上找到了大量与Qakbot僵尸网络运营有关的文件，包括管理员和同谋之间的通信以及与虚拟货币钱包有关的信息。此外，还发现了名为“payments.txt”的文件，其中包含了勒索软件受害者列表、勒索软件组的详细信息、计算机系统详细信息、日期以及向Qakbot支付的比特币（BTC）金额的指示。

FBI将Qakbot的流量重定向到受其控制的服务器，从而获得了在全球受感染设备上部署卸载程序所需的访问权限，最终清除了感染并阻止了其他恶意负载的部署。虽然在清除过程中，受害者没有被通知，但FBI使用从受害者计算机收集的IP地址和路由信息通知了他们。

受害者可以通过在Have I Been Pwned或荷兰国家警察网站上提交电子邮件地址来检查他们的设备是否受到感染。

这次联合行动还得到了包括欧洲刑警组织、法国警察网络犯罪中心、巴黎检察院网络犯罪科、德国联邦刑事警察局、法兰克福总检察长办公室、荷兰国家警察、国家检察院办公室、英国国家犯罪局、罗马尼亚国家警察和拉脱维亚国家警察在内的众多合作伙伴的支持。这次行动由联邦调查局洛杉矶办事处、美国加利福尼亚州中区检察官办公室、刑事司计算机犯罪和知识产权科（CCIPS）与欧洲司法组织（Eurojust）合作协调。

美国检察官马丁·埃斯特拉达表示：“Qakbot是一些最臭名昭著的勒索软件团伙所选择的僵尸网络，但我们现在已将其清除。此次行动还导致从Qakbot网络犯罪组织中扣押了近900万美元的加密货币，这些资金现在将被扣押。”

在今年5月，五眼联盟成员国的网络安全和情报机构还成功摧毁了由俄罗斯联邦安全局（FSB）运营的与臭名昭著的Turla黑客组织相关的Snake点对点僵尸网络。