في 29 أغسطس، أعلن مكتب التحقيقات الفيدرالي ووزارة العدل عن عملية متعددة الجنسيات لتعطيل وتفكيك البرامج الضارة والبوت نت المعروفة باسم Qakbot.

يمثل هذا الإجراء، الذي وقع في الولايات المتحدة وفرنسا وألمانيا وهولندا ورومانيا ولاتفيا والمملكة المتحدة، واحدًا من أكبر عمليات التعطيل التي تقودها الولايات المتحدة للبنية التحتية لشبكة الروبوتات التي يستخدمها مجرمو الإنترنت لارتكاب برامج الفدية والاحتيال المالي والاختراقات المالية. الأنشطة الإجرامية الأخرى التي يتم تمكينها عبر الإنترنت.

وقال مدير مكتب التحقيقات الفيدرالي كريستوفر راي: "لقد قام مكتب التحقيقات الفيدرالي بتحييد سلسلة التوريد الإجرامية بعيدة المدى هذه، ووعمل على إجهاضها". "ويتراوح الضحايا بين مؤسسات مالية على الساحل الشرقي ومقاول حكومي للبنية التحتية الحيوية في الغرب الأوسط وشركة مصنعة للأجهزة الطبية على الساحل الغربي."

ما هو Qakbot؟
يعمل Qakbot، الذي يديره مجرمون إلكترونيون من أوروبا الشرقية، منذ عام 2008. وهو أكثر البرامج الضارة التي يتم اكتشافها شيوعًا، حيث تأثرت 11% من شبكات الشركات في جميع أنحاء العالم في النصف الأول من عام 2023.

يعتبر Qakbot صعبًا بشكل خاص: فهو برنامج ضار متعدد الأغراض، فهو يسمح لمجرمي الإنترنت بسرقة البيانات مباشرة (بيانات الاعتماد للحسابات المالية، وبطاقات الدفع، وما إلى ذلك) من أجهزة الكمبيوتر، بينما يعمل أيضًا كمنصة وصول أولية لإصابة شبكات الضحايا ببرامج ضارة وبرامج فدية إضافية. يتم توزيع Qakbot بشكل أساسي عن طريق رسائل البريد الإلكتروني التصيدية، وهو يتميز بقدرة عالية على التكيف والمرونة، مما يسمح له بتجاوز الإجراءات الأمنية. ويستخدم أنواع الملفات بما في ذلك OneNote و PDF وHTML وZIP وLNK والمزيد لإصابة الأجهزة.

كيف عملت البرامج الضارة Qakbot؟
أصابت البرامج الضارة Qakbot أجهزة الكمبيوتر الضحية بشكل أساسي من خلال رسائل البريد الإلكتروني العشوائي التي تحتوي على مرفقات أو روابط ضارة.

بعد أن قام المستخدم بتنزيل المحتوى أو النقر عليه، قام Qakbot بتوصيل برامج ضارة إضافية - بما في ذلك برامج الفدية - إلى أجهزة الكمبيوتر الخاصة به. أصبح الكمبيوتر أيضًا جزءًا من شبكة الروبوتات (شبكة من أجهزة الكمبيوتر المخترقة) ويمكن لمستخدمي الروبوتات التحكم فيها عن بعد. وطوال الوقت، لم يكن ضحية Qakbot عادةً على علم بإصابة جهاز الكمبيوتر الخاص به.

منذ إنشائها في عام 2008، تم استخدام برامج Qakbot الضارة في هجمات برامج الفدية وغيرها من الجرائم الإلكترونية التي تسببت في خسائر بمئات الملايين من الدولارات للأفراد والشركات في الولايات المتحدة وخارجها.

وقال راي: "لقد زودت شبكة الروبوتات هذه مجرمي الإنترنت مثل هؤلاء ببنية تحتية للقيادة والتحكم تتكون من مئات الآلاف من أجهزة الكمبيوتر المستخدمة لتنفيذ هجمات ضد الأفراد والشركات في جميع أنحاء العالم".

تعطيل البرمجية الخبيثة
كجزء من العملية، تمكن مكتب التحقيقات الفيدرالي من الوصول بشكل قانوني إلى البنية التحتية لـ Qakbot وحدد أكثر من 700000 جهاز كمبيوتر مصاب في جميع أنحاء العالم - بما في ذلك أكثر من 200000 في الولايات المتحدة. لتعطيل شبكة الروبوتات، أعاد مكتب التحقيقات الفيدرالي توجيه حركة مرور Qakbot إلى الخوادم التي يسيطر عليها المكتب والتي أصدرت التعليمات

المصابة أجهزة الكمبيوتر لتنزيل ملف إلغاء التثبيت. قامت أداة إلغاء التثبيت هذه - التي تم إنشاؤها لإزالة برنامج Qakbot الضار - بفصل أجهزة الكمبيوتر المصابة عن شبكة الروبوتات ومنع تثبيت أي برامج ضارة إضافية.

وقال راي: "لقد أصبح كل هذا ممكنًا بفضل العمل المتفاني الذي قام به مكتب التحقيقات الفيدرالي في لوس أنجلوس، وقسمنا السيبراني في مقر مكتب التحقيقات الفيدرالي، وشركائنا، هنا في الداخل والخارج". "إن التهديد السيبراني الذي يواجه أمتنا يزداد خطورة وتعقيدًا كل يوم. لكن نجاحنا يثبت أن شبكتنا وقدراتنا أكثر قوة."

كيفية منع هجمات برامج الفدية
في حين أن الهجمات السيبرانية آخذة في الارتفاع، فإن الوقاية منها ممكنة. توصي تشيك بوينت بالآتي:
• الاستثمار في حملات التوعية بالتصيد الاحتيالي حتى يتمكن الموظفون من التعرف على محاولات التصيد والإبلاغ عنها بسهولة. لا تزال رسائل البريد الإلكتروني التصيدية هي التكتيك الناجح رقم 1 للمتسللين.
• البقاء على اطلاع دائم بالتصحيحات الأمنية لضمان حصول أجهزة الكمبيوتر دائمًا على أحدث وسائل الحماية.
• الاستفادة من حلول مكافحة برامج الفدية التي تراقب باستمرار السلوكيات المشبوهة لاتخاذ الإجراءات اللازمة وإيقاف التشفير قبل حدوث المزيد من الضرر.

المصادر: FBI , Check Point