សហរដ្ឋអាមេរិករុះរើ QakBot botnet ដែលប៉ះពាល់ដល់កុំព្យូទ័រ 700,000

យោងតាម សារព័ត៌មាន The Hacker News QakBot គឺជាមេរោគ Windows malware ដ៏ល្បីមួយដែលត្រូវបានគេប៉ាន់ប្រមាណថាបានបំផ្លាញកុំព្យូទ័រជាង 700,000 គ្រឿងនៅទូទាំងពិភពលោក និងសម្របសម្រួលការក្លែងបន្លំផ្នែកហិរញ្ញវត្ថុ ក៏ដូចជា ransomware ។

ក្រសួងយុត្តិធម៌អាមេរិក (DoJ) បាននិយាយថា មេរោគនេះកំពុងត្រូវបានដកចេញពីកុំព្យូទ័ររបស់ជនរងគ្រោះ ដោយការពារវាពីការបង្កគ្រោះថ្នាក់បន្ថែមទៀត ហើយអាជ្ញាធរបានរឹបអូសបានជាង 8.6 លានដុល្លារជារូបិយប័ណ្ណអេឡិចត្រូនិកខុសច្បាប់។

ប្រតិបត្តិការឆ្លងព្រំដែននេះមានការចូលរួមពីប្រទេសបារាំង អាល្លឺម៉ង់ ឡាតវី រូម៉ានី ហូឡង់ ចក្រភពអង់គ្លេស និងសហរដ្ឋអាមេរិក ដោយមានការគាំទ្រផ្នែកបច្ចេកទេសពីក្រុមហ៊ុនសន្តិសុខអ៊ីនធឺណិត Zscaler ។ វាគឺជាការបង្រ្កាបដ៏ធំបំផុតដែលដឹកនាំដោយសហរដ្ឋអាមេរិកលើហេដ្ឋារចនាសម្ព័ន្ធ botnet ដែលប្រើប្រាស់ដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ទោះបីជាគ្មានការចាប់ខ្លួនត្រូវបានប្រកាសក៏ដោយ។

QakBot ដែលត្រូវបានគេស្គាល់ផងដែរថាជា QBot និង Pinkslipbot បានចាប់ផ្តើមដំណើរការជាធនាគារ Trojan ក្នុងឆ្នាំ 2007 មុនពេលផ្លាស់ប្តូរទៅដើរតួជាមជ្ឈមណ្ឌលចែកចាយសម្រាប់មេរោគនៅលើម៉ាស៊ីនដែលមានមេរោគ រួមទាំង ransomware ផងដែរ។ ransomware មួយចំនួនពី QakBot រួមមាន Conti, ProLock, Egregor, REvil, MegaCortex និង Black Basta។ ប្រតិបត្តិករ QakBot ត្រូវបានគេជឿថាបានទទួលប្រាក់លោះប្រហែល 58 លានដុល្លារពីជនរងគ្រោះនៅចន្លោះខែតុលា ឆ្នាំ 2021 ដល់ខែមេសា ឆ្នាំ 2023 ។

ជារឿយៗត្រូវបានចែកចាយតាមរយៈអ៊ីមែលបន្លំ មេរោគម៉ូឌុលនេះត្រូវបានបំពាក់ដោយដំណើរការពាក្យបញ្ជា និងសមត្ថភាពប្រមូលព័ត៌មាន។ QakBot ត្រូវបានធ្វើបច្ចុប្បន្នភាពជាបន្តបន្ទាប់នៅទូទាំងអត្ថិភាពរបស់វា។ DoJ បាននិយាយថាកុំព្យូទ័រដែលឆ្លងមេរោគគឺជាផ្នែកមួយនៃ botnet មានន័យថាជនល្មើសអាចគ្រប់គ្រងកុំព្យូទ័រដែលមានមេរោគទាំងអស់ពីចម្ងាយក្នុងលក្ខណៈសម្របសម្រួលមួយ។

យោងតាមឯកសាររបស់តុលាការ ប្រតិបត្តិការនេះបានចូលប្រើហេដ្ឋារចនាសម្ព័ន្ធ QakBot ដែលបន្ទាប់មកអាចប្តូរទិសចរាចរ botnet តាមរយៈម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយ FBI ជាមួយនឹងគោលដៅចុងក្រោយនៃការបិទសង្វាក់ផ្គត់ផ្គង់ឧក្រិដ្ឋកម្ម។ ម៉ាស៊ីនមេបានណែនាំកុំព្យូទ័រដែលត្រូវបានសម្របសម្រួលឱ្យទាញយកកម្មវិធី Uninstaller ដែលត្រូវបានរចនាឡើងដើម្បីលុបម៉ាស៊ីនចេញពី QakBot botnet ដោយមានប្រសិទ្ធភាពការពារការចែកចាយសមាសធាតុមេរោគបន្ថែម។

QakBot បានបង្ហាញភាពទំនើបកាន់តែច្រើនឡើងៗតាមពេលវេលា ផ្លាស់ប្តូរយុទ្ធសាស្ត្រយ៉ាងឆាប់រហ័ស ដើម្បីឆ្លើយតបទៅនឹងវិធានការសន្តិសុខថ្មី។ បន្ទាប់ពី Microsoft បានបិទម៉ាក្រូតាមលំនាំដើមនៅក្នុងកម្មវិធី Office ទាំងអស់ មេរោគបានចាប់ផ្តើមប្រើប្រាស់ឯកសារ OneNote ជាវ៉ិចទ័រឆ្លងមេរោគកាលពីដើមឆ្នាំនេះ។

ភាពស្មុគ្រស្មាញ និងការសម្របខ្លួនក៏ស្ថិតនៅក្នុងការបំប្លែងទម្រង់ឯកសារជាច្រើនដូចជា PDF, HTML និង ZIP នៅក្នុងសង្វាក់វាយប្រហាររបស់ QakBot ផងដែរ។ ម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រងមេរោគភាគច្រើនមានទីតាំងនៅសហរដ្ឋអាមេរិក ចក្រភពអង់គ្លេស ឥណ្ឌា កាណាដា និងបារាំង ខណៈដែលហេដ្ឋារចនាសម្ព័ន្ធគាំទ្រត្រូវបានគេជឿថាមានទីតាំងនៅប្រទេសរុស្ស៊ី។

QakBot ដូចជា Emotet និង IcedID ប្រើប្រព័ន្ធម៉ាស៊ីនមេបីជាន់ ដើម្បីគ្រប់គ្រង និងទំនាក់ទំនងជាមួយមេរោគដែលបានដំឡើងនៅលើកុំព្យូទ័រដែលមានមេរោគ។ គោលបំណងចម្បងនៃម៉ាស៊ីនមេកម្រិត 1 និង 2 គឺដើម្បីបញ្ជូនទំនាក់ទំនងដែលមានទិន្នន័យដែលបានអ៊ិនគ្រីបរវាងម៉ាស៊ីនដែលឆ្លងមេរោគ និងម៉ាស៊ីនមេកម្រិត 3 ដែលគ្រប់គ្រង botnet ។

គិតត្រឹមពាក់កណ្តាលខែមិថុនា ឆ្នាំ 2023 ម៉ាស៊ីនមេលំដាប់ទី 1 ចំនួន 853 ត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងប្រទេសចំនួន 63 ជាមួយនឹងម៉ាស៊ីនមេលំដាប់ថ្នាក់ 2 ដើរតួជាប្រូកស៊ីដើម្បីបិទបាំងម៉ាស៊ីនមេគ្រប់គ្រងមេ។ ទិន្នន័យដែលប្រមូលបានដោយ Abuse.ch បង្ហាញថាម៉ាស៊ីនមេ QakBot ទាំងអស់ឥឡូវនេះគ្មានអ៊ីនធឺណិត។

យោងតាមក្រុមហ៊ុន HP Wolf Security QakBot ក៏ជាក្រុមគ្រួសារមេរោគសកម្មបំផុតមួយនៅក្នុង Q2 2023 ជាមួយនឹងសង្វាក់វាយប្រហារចំនួន 18 និងយុទ្ធនាការចំនួន 56 ។ វាបង្ហាញពីនិន្នាការនៃក្រុមឧក្រិដ្ឋជនដែលព្យាយាមទាញយកភាពងាយរងគ្រោះយ៉ាងឆាប់រហ័សនៅក្នុងប្រព័ន្ធការពារអ៊ីនធឺណិតសម្រាប់ប្រាក់ចំណេញខុសច្បាប់។