Qakbot botnet’i, altyapısının ABD ve Avrupa kolluk kuvvetleri tarafından ağır bir şekilde kesintiye uğratılmasının ardından büyük bir gerileme yaşadı.
Qakbot botnet’i, altyapısının ABD ve Avrupa kolluk kuvvetleri tarafından ağır bir şekilde kesintiye uğratılmasının ardından büyük bir gerileme yaşadı. Kod adı verilen DuckHunt Operasyonu, muhtemelen bir botnet altyapısında ABD liderliğindeki en büyük mali ve teknik kesintidir.
Ajanslar yalnızca Qakbot altyapısının çekirdeğini kapatmakla kalmadı, aynı zamanda kötü amaçlı yazılımları etkilenen cihazlardan da temizledi. ABD yetkilileri ayrıca yaklaşık 8,6 milyon dolar değerinde yasa dışı kripto para birimi kârına da el koydu.
Qakbot on yılı aşkın bir süredir faaliyet gösteriyor ve botnet operatörlerinin etkilenen cihazlardan oturum açma bilgilerini çalmasına ve bunlara ek kötü amaçlı yazılım yüklemesine olanak tanıyor. Bu kötü amaçlı yazılım genellikle bir fidye yazılımı çeşidi içeriyordu ve Black Basta en yeni fidye yazılımı tercihiydi.
Bu sayede Black Basta, aylık fidye yazılımı incelemelerimizde sürekli olarak en üretken fidye yazılımı türlerinden ilk üçte yer aldı.
Uluslararası soruşturmaya ABD, Fransa, Almanya, Letonya, Hollanda, Romanya ve Birleşik Krallık’tan adli ve emniyet yetkilileri katıldı. Ele geçirilen altyapının incelenmesi, kötü amaçlı yazılımın dünya çapında 700.000’den fazla bilgisayara bulaştığını ortaya çıkardı. Kolluk kuvvetleri, Avrupa, Güney ve Kuzey Amerika, Asya ve Afrika’da yaklaşık 30 ülkede Qakbot’un bulaştığı sunucuları tespit etti ve bu da kötü amaçlı yazılımın küresel ölçekte faaliyet göstermesine olanak sağladı. Virüs bulaşan 700.000 cihazın yaklaşık 200.000’i ABD’de bulunuyordu.
Yetkililer, botnet altyapısına ait el konulan sunucularda, şu anda HaveIBeenPwnd (HIBP) ile paylaşılan 6,43 milyon e-posta adresi ve şifre buldu. HIBP, e-posta adresinizin veya telefon numaranızın ele geçirilip geçirilmediğini görmek için birden fazla veri ihlali arasında arama yapmanızı sağlar. Ancak HIBP aynı zamanda Birleşik Krallık, Avustralya ve Romanya (birkaçını saymak gerekirse) gibi hükümetlere de hükümet alanlarındaki ihlalleri izleme konusunda yardımcı oldu. Qakbot ile ilgili e-posta adreslerinin %57’si zaten veritabanında. Qakbot verileri hassas olarak etiketlendi; bu, bilgileri almak için e-posta adresinin kontrolünüz altında olduğunu doğrulamanız gerektiği anlamına geliyor.
Bilgiler ayrıca, e-posta sağlayıcıları ve etkilenen e-posta adreslerinin sahiplerini daha da korumak amacıyla şifre sıfırlama işlemini başlatmak için e-posta sağlayıcıları ve diğer ana bilgisayarlarla iletişime geçecek olan Spamhaus ile de paylaşıldı.
Qakbot çoğunlukla, kötü amaçlı belgeleri ek olarak veya kötü amaçlı dosyaları indirmek için bağlantılar içeren kimlik avı kampanyaları yoluyla yayılır. Qakbot yüklendikten sonra kötü amaçlı kod, tespit edilmesini önlemek için meşru bir Windows işleminin bellek konumuna enjekte edilir. İlk başta, virüslü makinede e-posta adreslerini ve diğer yararlı bilgileri arar. Daha sonra, örneğin ek kötü amaçlı yazılım indirmek gibi daha sonraki talimatları beklemek üzere cihazın hafızasında kalır.
Yani botnet’in bir özelliği de botların operatörler tarafından kontrol edilebilmesidir. Bu prensibe dayanarak FBI, kötü amaçlı yazılımı bağlı tüm botlardan kaldırmak için bir yöntem geliştirdi.
FBI yöneticilerin bilgisayarlarını ele geçirdiğinde, botnet’in Komuta ve Kontrol (C2) yapısının haritasını çıkarabildi ve bu bilgiyi özel bir temizleme aracı oluşturmak için kullanabildi. FBI, sunucularla iletişim kurmak için kullanılan şifreleme anahtarlarını değiştirerek Qakbot yöneticilerini kendi komuta ve kontrol altyapılarına kilitlemeyi başardı.
“Botnet’i bozmak için FBI, Qakbot botnet trafiğini FBI tarafından kontrol edilen sunuculara ve bu sunucular aracılığıyla yeniden yönlendirmeyi başardı; bu da ABD ve diğer yerlerdeki virüs bulaşmış bilgisayarlara, Qakbot kötü amaçlı yazılımını kaldıracak kolluk kuvvetleri tarafından oluşturulan bir dosyayı indirmeleri talimatını verdi.” .”
Mağdurlara yönelik bilgiler de dahil olmak üzere ek bilgi ve kaynaklar, ek bilgi ve kaynaklar mevcut oldukça güncellenecek olan aşağıdaki web sitesinde bulunabilir: www.justice.gov/usao-cdca/divisions/national-security-division/qakbot-resources .
Fidye yazılımından nasıl kaçınılır
- Yaygın giriş biçimlerini engelleyin. İnternete açık sistemlerdeki güvenlik açıklarını hızlı bir şekilde düzeltmek için bir plan oluşturun; RDP ve VPN’ler gibi uzaktan erişimi devre dışı bırakın veya güçlendirin.
- İzinsiz girişleri önleyin. Tehditleri, uç noktalarınıza sızmadan veya onları etkilemeden önce durdurun. Fidye yazılımı dağıtmak için kullanılan kötüye kullanımları ve kötü amaçlı yazılımları önleyebilecek uç nokta güvenlik yazılımı kullanın.
- İzinsiz girişleri tespit edin. Ağları bölümlere ayırarak ve erişim haklarını ihtiyatlı bir şekilde atayarak davetsiz misafirlerin kuruluşunuzun içinde çalışmasını zorlaştırın. Bir saldırı meydana gelmeden önce olağandışı etkinlikleri tespit etmek için EDR veya MDR’yi kullanın.
- Kötü amaçlı şifrelemeyi durdurun. Fidye yazılımını tanımlamak için birden fazla farklı algılama tekniği kullanan ve hasarlı sistem dosyalarını geri yüklemek için fidye yazılımını geri döndüren Malwarebytes EDR gibi Uç Nokta Tespit ve Yanıt yazılımını kullanın.
- Tesis dışında, çevrimdışı yedeklemeler oluşturun. Yedeklemeleri saldırganların erişemeyeceği bir yerde ve çevrimdışı olarak saklayın. Temel iş işlevlerini hızlı bir şekilde geri yükleyebileceğinizden emin olmak için bunları düzenli olarak test edin.
- İki kez saldırıya uğramayın. Salgını izole ettikten ve ilk saldırıyı durdurduktan sonra, tekrar saldırıya uğramamak için saldırganların, kötü amaçlı yazılımlarının, araçlarının ve giriş yöntemlerinin tüm izlerini kaldırmalısınız.
Malwarebytes EDR ve MDR, fidye yazılımının tüm kalıntılarını kaldırır ve yeniden virüs bulaşmasını önler. İşletmenizi korumaya nasıl yardımcı olabileceğimiz hakkında daha fazla bilgi edinmek ister misiniz? Aşağıdan ücretsiz deneme sürümünü edinin.
ŞİMDİ DENE