Исследование, проведенное провайдером решений для оценки рисков Kroll, выявило растущую тенденцию использования трояна Qakbot, или Qbot, для запуска кампаний по перехвату почтовых потоков и развертывания атак с использованием вымогателей.
Согласно выводам совместно с аналитиками из Национального альянса по кибер-криминалистике и обучению, киберпреступники стремиться украсть финансовые данные из разных отраслей, таких как СМИ, образование и академия. Тем не менее, пандемия COVID-19 помогла атакам на сектор здравоохранения.
По сообщениям, этот троян используется в качестве «точки входа» для операторов банды ProLock Ransomware. В докладе предполагается, что жертвы являются легкими целями из-за сложных фишинговых структур, созданных преступниками.
Методы атак, используемые трояном Qakbot
По словам Кролла, Qakbot является банковским трояном, который работает уже более десяти лет и полагается на использование клавиатурных шпионов, захватчиков файлов cookie для аутентификации, атак с использованием грубой силы и кражи учетных записей Windows, а также других методов.
Один из авторов исследования, Лори Яконо, вице-президент группы по кибер-риску Kroll, объяснил Cointelegraph следующие причины, по которым киберпреступники используют трояны, такие как Qakbot, для запуска вымогателей:
«Конечная причина – максимизировать свою прибыль. За последние 18 месяцев Кролл наблюдал множество случаев, когда троянская инфекция была первым шагом многоэтапной атаки: хакеры заражают систему, находят способ повысить привилегии, проводят разведку, крадут учетные данные (и иногда конфиденциальные данные), а затем запустить атаку вымогателей с уровня доступа, где он может нанести максимальный ущерб. Они могут заработать деньги на выкупе и, возможно, на продаже украденных данных и учетных данных, плюс украденные данные помогают вынудить зараженные компании платить выкуп ».
Соул-автор исследования и вице-президент отдела киберрисков Kroll, Коул Манастер, пояснил Cointelegraph, что рост числа атак с использованием перехвата потоков, подобных тем, которые были развернуты Qakbot, демонстрирует эволюцию. Он добавил следующее:
«Преступники знают о растущей подготовке кибербезопасности среди пользователей электронной почты и создают более изощренные и аутентичные фишинговые приманки».
Кризис COVID-19 повышает уровень угрозы в киберпреступности
С другой стороны, Iacono сказал, что использование троянов бандами-вымогателями не редкость и приводит пример атак Ryuk, которым предшествует установка трояна Emotet, и атак DoppelPaymer, которым предшествуют инъекции Trickbot.
Она предупредила, что из-за того, что в связи с кризисом COVID-19 все больше рабочих дома, они видят «всплеск атак, использующих уязвимости в приложениях удаленной работы, таких как эксплойт Citrix».
Cointelegraph сообщил 17 мая, что банда ProLock полагается на банковский троян Qakbot, чтобы начать атаку, и просит цели для выкупа шестизначных долларов США, выплаченных в биткойнах (BTC), для расшифровки файлов.
