Новая версия вредоносной программы Qbot, используемая хакерами для кибератак на учреждения здравоохранения, образования и охраны порядка по всему миру, была обнаружена исследователями из BAE Systems.
На данный момент в состав ботнета включено свыше 54000 зараженных компьютеров. Большинство из них расположены в Великобритании, Канаде и США. Вредоносная программа применяется для кражи учетной информации и внедрения бэкдоров в инфицированные системы. Распространение Qbot может осуществляться в автоматическом режиме. Антивирусы в большинстве своем не распознают данную программу.
Для заражения компьютеров хакеры пользуются вредоносными рекламными баннерами либо методами социальной инженерии, обманным путем вынуждая жертв осуществлять переход на вредоносный ресурс с набором эксплоитов RIG. После проникновения в систему Qbot стремится инфицировать другие компьютеры в сети с помощью общедоступных папок. При наличии парольной защиты вредоносная программа совершает попытки получения доступа к диспетчеру паролей. Если троянская программа не может получить пароль таким образом, то она осуществляет атаку методом полного перебора с помощью списка распространенных сочетаний учетной информации, содержащейся в ее теле.
Целью Qbot является заражение наибольшего числа компьютеров в сети. После этого вредоносная программа выходит на связь с C&C-сервером, отправляющим обновления каждые 6 часов. Кроме инструкций, в обновлениях присутствуют новые версии вредоносной программы, созданные с помощью двухэтапного полиморфического процесса, вносящего изменения в структуру троянской программы, не позволяя создать для данного образца уникальную сигнатуру.
У большей части организаций общественного сектора, несущих ответственность за работу критической инфраструктуры, ограниченный бюджет. Дефицит средств в организациях является причиной, по которой там используется устаревшее программное и аппаратное обеспечение, вследствие чего растет риск кибернападения.
Ботнет Qbot, состоящий из 500000 инфицированных систем, был обнаружен в октябре 2014 года специалистами из Proofpoint. Вредоносная программа перехватила около 800000 транзакций онлайн-банкинга.