Według CERT Polska liczba cyberataków nieustannie rośnie. W samym 2022 roku zarejestrowano ponad 322 tysiące zgłoszeń dotyczących bezpieczeństwa cybernetycznego, co przełożyło się na niespełna 40 tysięcy obsłużonych incydentów. Aż 65% z nich zakwalifikowano jako ataki typu phishing.

Dzięki licznym kampanią edukacyjnym oraz wzrostem świadomości dotyczącej cyberbezpieczeństwa wśród pracowników rośnie wiedza na temat zagrożeń sieciowych, ale najnowsze zabezpieczenia oraz ludzie nadal nie radzą sobie z zapobieganiem atakom cybernetycznym na zadowalającym poziomie.

Zobacz również:

• Zainfekowany smartfon - przedstawiamy najpopularniejsze objawy
• Co trzecia firma w Polsce z cyberincydentem

Oprócz phishingu niezwykle niebezpiecznym zagrożeniem są ataki korzystające z wirusów typu malware.

Jedną z najnowszych rodzin złośliwego oprogramowania jest Qbot - wirus zaprojektowany specjalnie z myślą o kradzieży poufnych danych.

Skąd wziął się Qbot, jak bardzo jest niebezpieczny oraz jak się przed nim chronić? Te i wiele informacji na temat tego oprogramowania znajduje się w poniższym tekście.

Pochodzenie malware Qbot

Qbot jest istniejącym w sieci od lat złośliwym oprogramowanie, które często opisywane jest również jako QakBot, QuakBot oraz Pinkslipbot. Wirus po raz pierwszy został odkryty jeszcze w 2007 roku i na przestrzeni kilkunastu lat znacząco wyewoluował i dopasował się do aktualnych celów ataków oraz standardów bezpieczeństwa cybernetycznego.

Wieloletnia obecność na rynku sprawia, że Qbot to jedno z najstarszych, aktywnie wykorzystywanych oprogramowań typu malware. Wiek nie sprawia jednak, że jest ono przestarzałe. Qbot to nadal bardzo niebezpieczne zagrożenie, przed którym trzeba się aktywnie chronić.

Jak działa Qbot?

Qbot to szeroka rodzina złośliwego oprogramowania, na którą składa się wiele szczepów rozwijanych równolegle przez lata. W 2023 roku najpopularniejszym wirusem z rodziny Qbot jest trojan typu infostaler.

Jak sama nazwa z języka angielskiego wskazuje oprogramowanie to zostało zaprojektowane specjalnie w celu kradzieży danych o krytycznym znaczeniu dla bezpieczeństwa cybernetycznego oraz ochrony prywatności użytkowników w sieci. Qbot z powodzeniem kradnie dane dostępowe do banków, informacje o płatnościach, dane kontaktowe oraz dane logowania do usługi sieciowych. Trojany infostaler w skrócie służą do kradzieży haseł.

Zmodyfikowane wersje Qbot były również wykorzystywane do przeprowadzania ataków typu keylogging (zbieranie danych wprowadzonych na zainfekowanym urządzeniu), hakowania wybranych procesów, a nawet atakowania systemów za pośrednictwem zidentyfikowanych backdoorów (luk w zabezpieczeniach).

Od momentu powstania Qbot był wielokrotnie aktualizowany i modyfikowany. Jego rozwój można porównać do rozwoju systemów operacyjnych takich jak Windows, macOS, Linux, iOS czy Android. Z każdą kolejną wersję oprogramowanie jest jeszcze bardziej zaawansowane i posiada nowe funkcje.

W pewnym momencie Qbot otrzymał możliwość wykorzystania backdoorów, co zostało szybko wykorzystane do infiltracji systemów lub sieci do przeprowadzania ataków. Ta, mocno wyspecjalizowana wersja złośliwego oprogramowania Qbot otrzymała nazwę "Backdoor.Qbot".

Pierwotnie Qbot dystrybuowany był z wykorzystaniem innego złośliwego oprogramowania malware o nazwie Emotet.

Aktualnie Qbot trafia na urządzenia końcowe z wykorzystaniem specjalnie spreparowanych kampanii e-mail, gdzie dołączany jest załącznik z wszczepionym kodem złośliwego oprogramowania. Kampanie skupiają się na dotarciu do jak największej liczby odbiorców. Są to ogólne wiadomości e-mail, które zalewają serwery pocztowe popularnych dostawców usług e-mail z nadzieją na dotarcie do nieświadomych użytkowników klikających w linki i załączniki z wiadomości e-mail.

Qbot najczęściej przyjmuje formę załącznika w formacie .zip, w którym po rozpakowaniu znajduje się przygotowany plik .xls z załadowanymi makrami. Po jego otwarciu złośliwe oprogramowanie instalowane jest w systemie operacyjnym urządzenia bez uprzedniego poinformowania właściciela. Co istotne wirus działa w ukryciu i jest ciężko wykrywalny.

Wirusy z rodziny Qbot są często wykorzystywane jako część ataku cybernetycznego. Odpowiadają one w nim za złamanie dostępu do danego konta w celu instalacji oprogramowania typu ransomware-as-a-service.

Qbot to uniwersalne rozwiązanie stosowane do atakowania wielu branży, ale jedna z nich wysuwa się na prowadzenie. Według informacji przekazanych przez badaczy do spraw cyberbepzieczebństwa z firmy TrendMicro, w 2020 roku aż 28,1% podmiotów zainfekowanych z wykorzystaniem wirusa Qbot pochodziło z sektora medycznego.

Poniżej znajdują się branże, które naczęściej borykają się ze skutkami ataków oprogramowania Qbot:

• Sektor medyczny
• Produkcja
• Administracja publiczna i rządowa
• Edukacja
• Ubezpieczenia
• Transport i logistyka
• Handel detaliczny
• Dystrybucja ropy, gazu i materiałów technicznych

Qbot najczęściej atakuje organizacje zarejestrowane w Chinach, Stanach Zjednoczonych oraz Tajlandii. Wirus atakuje również firmy z Niemiec, Australii i Japonii, więc jest zagrożeniem o skali globalnej.

Jak uniknąć ataku?

Aby uniknąć ataku wirusa z rodziny Qbot należy stosować się do popularnych dobrych praktyk cyberbezpieczeństwa. Należy sobie przy tym zdawać sprawę, że pełne - 100% uniknięcie infekcji nie jest możliwe.

Warto posiadać aktualne oprogramowanie antywirusowe z automatycznymi aktualizacjami sygnatur. Organizacje powinny zadbać o wdrożenie systemów XDR/EDR, SIEM oraz SOAR, które pozwolą skutecznie monitorować ruch sieciowy. Pracownicy zdalni powinni korzystać z zasobów firmowych jedynie poprzez zabezpieczoną ich domenowymi poświadczeniami sieć VPN.

Ważne są również szkolenia z zakresu cyberbezpieczeństwa, które przedstawiają możliwe wykorzystanie socjotechnik do przeprowadzenia udanych ataków cybernetycznych.