Исследователи компании BAE Systems обнаружили новую версию вредоносного ПО Qbot, используемую злоумышленниками для атак на управления полиции, больницы и образовательные учреждения в различных странах мира. В настоящее время в состав ботнета входит более 54517 тыс. инфицированных компьютеров в тысячах организаций. Большая часть из них находится в США, Великобритании и Канаде. В основном вредонос используется для хищения учетных данных и создания бэкдоров на зараженных системах. Qbot способен распространяться автоматически и не детектируется большинством антивирусных решений.
Для инфицирования жертв злоумышленники используют вредоносные рекламные баннеры или методы социальной инженерии, обманом заставляя пользователей переходить на вредоносный web-сайт, содержащий набор эксплоитов RIG. Оказавшись на системе, Qbot пытается заразить другие компьютеры в сети, используя для этой цели общедоступные папки. Если они защищены паролем, вредонос пытается получить доступ к диспетчеру паролей. В случае неудачи троян использует список с распространенными сочетаниями логин/пароль, содержащемся в его теле, для осуществления брутфорс-атаки.
Задача Qbot заключается в заражении максимального числа компьютеров в сети. Далее вредонос связывается с C&C-сервером, который отправляет обновления каждые шесть часов. Помимо инструкций, обновления содержат новые версии вредоносного ПО, сгенерированные при помощи двухэтапного полиморфического процесса, модифицирующего структуру трояна, что не позволяет создать уникальную сигнатуру для данного образца.
Бюджет большинства организаций общественного сектора, отвественных за работу критической инфраструктуры или сервисов, довольно ограничен. Из-за дефицита средств структуры зачастую используют устаревшее программное и аппаратное обеспечение, что увеличивает риск кибератак, отмечают эксперты.
В октябре 2014 г. специалисты Proofpoint обнаружили ботнет Qbot, состоящий из 500 тыс. инфицированных систем. Вредоносному ПО удалось перехватить около 800 тыс. транзакций online-банкинга. Предположительно, более половины (59%) сессий были перехвачены у клиентов пяти крупнейших банков США. (BAE Systems/NovostIT)