ABD hükümeti bugün eşgüdümlü bir baskı uygulayacağını duyurdu. QakBot, birden fazla siber suç grubu tarafından fidye yazılımı enfeksiyonlarına zemin hazırlamak için kullanılan karmaşık bir kötü amaçlı yazılım ailesidir. Uluslararası yasa uygulama operasyonu, botnet’in çevrimiçi altyapısının kontrolünü ele geçirmeyi ve Qakbot kötü amaçlı yazılımını on binlerce virüslü Microsoft Windows bilgisayar sisteminden sessizce kaldırmayı içeriyordu.
Qakbot/Qbot, 2023’ün ilk altı ayında bir kez daha doğada gözlemlenen en çok kötü amaçlı yazılım yükleyicisi oldu. Kaynak: Reliaquest.com.
Bugün açıklanan uluslararası bir operasyonda “Ördek avı” ABD Adalet Bakanlığı (DOJ) ve Federal Soruşturma Bürosu (FBI), Qakbot’un virüslü cihazlardan kaldırılması ve botnet’i kontrol etmek için kullanılan sunuculara el konulması için mahkeme emri aldıklarını söyledi.
“Bu, Adalet Bakanlığı’nın şimdiye kadar bir botnet’e karşı yürüttüğü en önemli teknolojik ve finansal operasyondur” dedi. Martin EstradaABD’nin Kaliforniya Güney Bölgesi avukatı, bu sabah Los Angeles’ta bir basın toplantısında.
Estrada, Qakbot’un son 18 ay içinde 40 farklı fidye yazılımı saldırısına karıştığını ve bu saldırıların kurbanlara toplu olarak 58 milyon dolardan fazla zarara yol açtığını söyledi.
2007 yılında bir bankacılık truva atı olarak ortaya çıkan QakBot (diğer adıyla Qbot Ve Pembesplipbot), artık birden fazla siber suçlu grubu tarafından yeni ele geçirilen ağları fidye yazılımı istilasına hazırlamak için kullanılan gelişmiş bir kötü amaçlı yazılım türüne dönüştü. QakBot genellikle faturalar veya iş emirleri gibi meşru ve zamana duyarlı bir şey gibi görünen e-posta kimlik avı tuzakları yoluyla teslim edilir.
Don AlwayFBI’ın Los Angeles saha ofisinden sorumlu müdür yardımcısı, federal soruşturmacıların siber dolandırıcıların botnet eylemlerini izlemesine ve kontrol etmesine olanak tanıyan çevrimiçi bir panele erişim elde ettiğini söyledi. Alway, müfettişlerin, etkilenen tüm sistemlere Qakbot’u kaldırmaları ve virüslü makinelerin botnet ile bağlantısını kesmeleri talimatını vermek için mahkeme kararıyla onay aldığını söyledi.
DOJ, botnet’in kontrol paneline erişimlerinin, Qakbot’un yalnızca geçen yıl Amerika Birleşik Devletleri’ndeki 200.000 sistem dahil olmak üzere 700.000’den fazla makineye bulaşmak için kullanıldığını ortaya çıkardığını söyledi.
Fransa, Almanya, Letonya, Hollanda, Romanya ve Birleşik Krallık’taki kolluk kuvvetleri ortaklarıyla birlikte çalışan DOJ, kötü amaçlı yazılım ağına bağlı 50’den fazla İnternet sunucusuna ve yaklaşık 9 milyon dolarlık yasa dışı elde edilmiş kripto para birimine el koyabildiğini söyledi. QakBot’un siber suçlu efendileri. Adalet Bakanlığı, devam eden bir soruşturmayı gerekçe göstererek, Qakbot ile bağlantılı olarak herhangi bir şüphelinin sorgulanıp tutuklanmadığına dair bilgi vermeyi reddetti.
Yönetilen güvenlik firmasının son rakamlarına göre ReliaQuestQakBot, açık ara en yaygın kötü amaçlı yazılım “yükleyicisidir”; saldırıya uğramış bir ağa erişimi güvence altına almak ve ek kötü amaçlı yazılım yüklerinin düşürülmesine yardımcı olmak için kullanılan kötü amaçlı yazılımdır. Reliaquest, QakBot enfeksiyonlarının bu yılın ilk altı ayında doğada gözlemlenen tüm yükleyicilerin neredeyse üçte birini oluşturduğunu söylüyor.
Araştırmacılar AT&T Uzaylı Laboratuvarları QakBot botnet’inin bakımından sorumlu dolandırıcıların yıllar boyunca botnet’lerini çeşitli siber suç gruplarına kiraladıklarını söylüyorlar. Ancak yakın zamanda QakBot, fidye yazılımı saldırılarıyla yakından ilişkilendirildi. Yeterince Siyah2022’nin başlarında Conti fidye yazılımı çetesinden ayrıldığı düşünülen, Rusça konuşan üretken bir suç grubu.
Bugünkü operasyon, ABD hükümetinin kötü amaçlı yazılımların bulaştığı sistemleri uzaktan dezenfekte etmek için mahkeme emirlerini kullandığı ilk sefer değil. Nisan 2022’de DOJ, Rus ordusunun bir istihbarat kolu olan GRU’ya bağlı daha da eski bir kötü amaçlı yazılım ailesi olan “Snake” kötü amaçlı yazılımının bulaştığı dünya çapındaki bilgisayarlardan kötü amaçlı yazılımları sessizce kaldırdı.
Bugünkü yayından kaldırma işlemini desteklemek üzere DOJ tarafından yayınlanan belgelerde, kolluk kuvvetlerinin 25 Ağustos 2023’ten itibaren Qakbot botnet’e erişim kazandığı, botnet trafiğini kolluk kuvvetleri tarafından kontrol edilen sunuculara ve sunucular aracılığıyla yeniden yönlendirdiği ve Qakbot bulaşmış bilgisayarlara bir botnet dosyası indirmeleri talimatı verildiği belirtiliyor. Qakbot kötü amaçlı yazılımını etkilenen bilgisayardan kaldıran Qakbot Uninstall dosyası.
Hükümet, “Qakbot Uninstall dosyası, virüslü bilgisayarlarda halihazırda yüklü olan diğer kötü amaçlı yazılımları düzeltmedi” diye açıkladı. “Bunun yerine, kurban bilgisayarın Qakbot botnet’inden ayrılması yoluyla virüslü bilgisayara ek Qakbot kötü amaçlı yazılım yüklenmesini önlemek için tasarlandı.”
DOJ ayrıca 6,5 milyondan fazla çalınan şifreyi ve diğer kimlik bilgilerini kurtardığını söyledi ve bu bilgileri, kullanıcıların kimlik bilgilerinin açığa çıkıp çıkmadığını kontrol etmelerine olanak tanıyan iki web sitesiyle paylaştı: Pwned Oldum mu ve “Hack’inizi Kontrol Edin” tarafından hazırlanan web sitesi Hollanda Ulusal Polisi.
Daha fazla okuma:
–DOJ’un Qakbot kaldırma dosyasına bağlı arama emri başvurusu başvurusu
–Amerika Birleşik Devletleri’ndeki QakBot sunucu altyapısına bağlı arama emri uygulaması
–Hükümetin, QakBot operatörlerinden sanal para birimine el konulması için tutuklama emri başvurusu.