29 年 2023 月 XNUMX 日、米国 FBI は多国籍サイバーハッキングおよびランサムウェア作戦 Qakbot (Qbot) を解体したと発表しました。 Hive、Emotet、Zloader に続き、QakBot も攻撃を受けています。 しかし、ボットネットは破壊され、ランサムウェアは使用できなくなるのでしょうか、それとも Emotet の場合のように機能不全に陥っただけでしょうか?
Qakbot マルウェアは、不正な添付ファイルやリンクを含むスパムメールを介して被害者に感染しました。 ランサムウェアオペレーターのプラットフォームとしても機能しました。 被害者のコンピュータがクラッキングされると、そのコンピュータはより大規模な Qakbot ボット ネットワークの一部となり、他のコンピュータをハイジャックしました。 金融機関、政府請負業者、医療機器メーカーなど、世界中で 700 万台のコンピューターが影響を受けました。
Qakbotとは何ですか?
Qakbot は東欧のハッカーによって運営され、2008 年から活動を続けています。 これは最も頻繁に発見されるマルウェアであり、2023 年上半期には世界中の企業ネットワークの 11% に影響を与えます。 Qakbot は特に注意が必要です。これはスイス アーミー ナイフに似た多目的マルウェアです。 これにより、サイバー犯罪者はデータ (金融口座、支払いカードへのアクセスを含む) やコンピューターを直接盗むことができると同時に、被害者のネットワークを追加のマルウェアやランサムウェアに感染させるプラットフォームとしても機能します。 主にフィッシングメールを介して配布される Qakbot は適応性と柔軟性が高く、マルウェアがセキュリティ対策を回避することができます。 OneNote、PDF、HTML、ZIP、LNK などのよく知られたファイルの種類を使用してユーザーを欺きます。 の脅威インテリジェンス マネージャー、セルゲイ シケビッチ氏は次のように述べています。 チェックポイントリサーチ.
Google 子会社の Mandiant は Qakbot について次のように述べています。
インクルード FBI は世界中のパートナーと協力して、Qakbot マルウェア インフラストラクチャを無力化してきました。 このインフラストラクチャは、サイバー犯罪者がランサムウェアを拡散するために使用されました。 ランサムウェアは、サイバー犯罪者が経済的目的を追求するために今でもよく使用されています。 M-Trends 2023 調査レポートによると、2022 年の Mandiant 調査の 18% にランサムウェアが関係していました。
サンドラ・ジョイス副社長、 Google Cloud の Mandiant Intelligence 「ランサムウェアは国家安全保障上の大きな課題であり、ロシアや北朝鮮などの国家からの脅威と同じくらい真剣に受け止めなければなりません。 ビジネスモデルの基礎は強固であり、この問題はすぐには解決されません。 私たちが自由に使えるツールの多くは、永続的な影響を及ぼしません。 これらのグループは回復して戻ってくるでしょう。 しかし、私たちには可能な限りこれらの作戦を一時停止する道徳的義務があります。」
Arctic Wolf による Qakbot のコメント
アヒル狩りは成功しました。メディアの報道によると、FBIはドイツ、オランダ、ルーマニア、ラトビア、ラトビアなどの軍隊による「ダックハント」と呼ばれる国際法執行作戦の一環として、Qakbotマルウェアを介して制御されていたボットネットを解体することに成功しました。イギリスになりました。
「Qakbot に対する「アヒル狩り」が成功したという事実は、XNUMX つの理由から前向きです。XNUMX つは、国際法執行当局がますます協力し合っていることがわかり、もう XNUMX つは、組織的なサイバー犯罪が彼らの背後に迫っており、彼らは邪魔されることなくいたずらを行うことができません。
それにもかかわらず、この重要な進歩を過大評価すべきではありません。 ボットネットは当面破壊されましたが、マルウェアのソース コードは開発者と同様にまだ存在しています。 彼らは数週間または数か月以内に再結集して「仕事」を再開すると予想されている。
企業は、自社の資格情報が Qakbot 攻撃者によって盗まれているかどうかを確認できます。 これは、自分のメールアドレスを提供することで機能します 私はPwnedされている またはオランダ警察のウェブサイトで確認してください。」 博士。 Sebastian Schmerl 氏、セキュリティ サービス ディレクター EMEA ホッキョクオオカミ。