Qakbot botnet’i ABD Adalet Bakanlığı (DOJ) tarafından sakatlandı: 52 sunucusu ele geçirildi ve popüler kötü amaçlı yazılım yükleyicisi dünya çapında 700.000’den fazla kurban bilgisayardan kaldırıldı.
“Botnet’i bozmak için FBI, Qakbot botnet trafiğini FBI tarafından kontrol edilen sunuculara ve bu sunucular aracılığıyla yeniden yönlendirmeyi başardı; bu da ABD ve diğer yerlerdeki virüs bulaşmış bilgisayarlara, Qakbot kötü amaçlı yazılımını kaldıracak kolluk kuvvetleri tarafından oluşturulan bir dosyayı indirmeleri talimatını verdi.” . Bu kaldırıcı, kurban bilgisayarının Qakbot botnet’inden ayrılması ve Qakbot yoluyla daha fazla kötü amaçlı yazılım yüklenmesinin önlenmesi için tasarlandı.” diye açıkladı Bakanlık.
Qakbot nedir?
Qbot veya Pinkslipbot olarak da bilinen Qakbot, genellikle potansiyel kurbanlara kötü amaçlı ekler ve/veya bağlantılar içeren spam e-posta mesajları aracılığıyla gönderilir. Ana amacı, virüslü bilgisayara ek kötü amaçlı yazılım dağıtmaktır.
DOJ, “Qakbot, son yıllarda Conti, ProLock, Egregor, REvil, MegaCortex ve Black Basta dahil olmak üzere birçok üretken fidye yazılımı grubu tarafından ilk enfeksiyon aracı olarak kullanıldı” dedi.
“Bu fidye yazılımı grupları, Illinois merkezli bir enerji mühendisliği firması da dahil olmak üzere tüm dünyadaki işletmelere, sağlık hizmeti sağlayıcılarına ve devlet kurumlarına önemli zararlar verdi; Alabama, Kansas ve Maryland merkezli finansal hizmet kuruluşları; Maryland merkezli bir savunma üreticisi; ve Güney Kaliforniya’da bir gıda dağıtım şirketi. Müfettişler, Ekim 2021 ile Nisan 2023 arasında Qakbot yöneticilerinin kurbanlar tarafından ödenen fidye olarak yaklaşık 58 milyon dolara karşılık gelen ücretler aldığına dair kanıtlar buldu.”
Kurbanlar genellikle Qakbot enfeksiyonunu fark etmezler.
Qakbot kötü amaçlı yazılımı virüslü bilgisayarlardan kaldırıldı
Adalet Bakanlığı’na göre, virüslü bilgisayarların 200.000’i ABD’de bulunuyor, geri kalanı dünya çapında, emniyet teşkilatlarının da operasyona dahil olduğu ülkeler de dahil: Fransa, Almanya, Hollanda, Birleşik Krallık, Romanya ve Letonya.
“‘Ördek Avı’ Operasyonu Ekibi bilim ve teknolojideki uzmanlıklarından yararlandı, ancak aynı zamanda küresel siber suç tedarik zincirini tam anlamıyla besleyen yüksek düzeyde yapılandırılmış ve çok katmanlı bir bot ağı olan Qakbot’u tespit edip sakatlamak için yaratıcılıklarına ve tutkularına da güvendi.” dedi FBI’ın Los Angeles Saha Ofisinden Sorumlu Direktör Yardımcısı Donald Alway. “Bu eylemler, ele geçirilen kişisel bilgisayarlardan kritik altyapımıza yönelik yıkıcı saldırılara kadar her düzeyde sayısız siber saldırıyı önleyecektir.”
Kurbanlara gönderilen Qakbot kaldırıcı, söz konusu kötü amaçlı yazılımı virüslü bilgisayarlardan kaldıracaktır, ancak bu bilgisayarlara yüklenmiş olabilecek diğer kötü amaçlı yazılımları (Qakbot tarafından yüklenmiş olsun ya da olmasın) silemez.
Adalet Bakanlığı, “Bu operasyonun bir sonucu olarak, FBI ve Hollanda Ulusal Polisi, Qakbot aktörleri tarafından ele geçirilen çok sayıda hesap kimlik bilgisi tespit etti” dedi ve kullanıcıları Have I Been Pwned hizmetine ve ABD tarafından kurulan bir web sitesine yönlendirdi. Hollanda Ulusal Polisi, e-posta hesabı kimlik bilgilerinin Qakbot operatörleri tarafından toplanıp toplanmadığını açıklayabilir.
Bu eylemin bir parçası olarak Adalet Bakanlığı ayrıca Qakbot siber suç örgütü tarafından kontrol edilen 20 cüzdandan 8,6 milyon dolardan fazla kripto para birimine el koydu.
“FBI, Qakbot Yönetici Bilgisayarları da dahil olmak üzere Qakbot bilgisayar altyapısının bazı bölümlerine erişim sağladı. Bir Qakbot yöneticisi tarafından kullanılan böyle bir bilgisayarda FBI, Qakbot botnet’in işleyişiyle ilgili birçok dosya buldu. Bu dosyalar, Qakbot yöneticileri ve işbirlikçileri arasındaki iletişimleri (örneğin sohbetleri) ve sanal para cüzdanları hakkında bilgi içeren çeşitli dosyaları içeren bir dizini içeriyordu.” FBI’ın bu fonlara el koyma emri başvurusunda açıklanmıştı.
FBI ayrıca fidye yazılımı kurbanlarının listesini, fidye yazılımı grubuyla ilgili ayrıntıları, bilgisayar sistemi ayrıntılarını, tarihleri ve fidye yazılımı saldırısıyla bağlantılı olarak Qakbot yöneticilerine ödenen bitcoin miktarının bir göstergesini içeren bir dosya bulduğunu söyledi.