29 Ağustos 2023'te ABD FBI, çok uluslu siber korsanlık ve fidye yazılımı operasyonu Qakbot veya Qbot'u çökerttiğini duyurdu. Hive, Emotet veya Zloader'dan sonra artık QakBot da vuruldu. Peki botnet yok edildi ve fidye yazılımı kullanılamaz hale mi geldi, yoksa Emotet'te olduğu gibi tamamen felç mi oldu?
Qakbot kötü amaçlı yazılımı, kurbanlara sahte ekler ve bağlantılar içeren spam e-postalar aracılığıyla bulaştı. Aynı zamanda fidye yazılımı operatörleri için de bir platform görevi gördü. Kurbanın bilgisayarı kırıldığında, diğer bilgisayarları ele geçiren daha büyük Qakbot bot ağının bir parçası haline geldi. Finans kurumları, devlet yüklenicileri ve tıbbi cihaz üreticileri de dahil olmak üzere dünya çapında 700 bilgisayar etkilendi.
Qakbot nedir?
🔎 Check Point 2023 Yıl Ortası Raporu, dünya genelinde en fazla saldırıyı Qbot/Qakbot'un gerçekleştirdiğini gösteriyor (Resim; Check Point).
Qakbot, Doğu Avrupalı hackerlar tarafından işletiliyordu ve 2008'den beri aktifti. En sık keşfedilen kötü amaçlı yazılım olup, 2023'ün ilk yarısında dünya çapındaki kurumsal ağların yüzde 11'ini etkilemektedir. Qakbot özellikle yanıltıcıdır: İsviçre çakısına benzeyen çok amaçlı bir kötü amaçlı yazılımdır. Siber suçluların verileri (finansal hesaplara, ödeme kartlarına erişim dahil) veya bilgisayarları doğrudan çalmasına olanak tanırken, aynı zamanda kurbanların ağlarına ek kötü amaçlı yazılım ve fidye yazılımı bulaştıracak bir platform görevi de görüyor. Esas olarak kimlik avı e-postaları aracılığıyla dağıtılan Qakbot, son derece uyarlanabilir ve esnek olduğundan, kötü amaçlı yazılımın güvenlik önlemlerini atlamasına olanak tanıyor. Kullanıcıları kandırmak için OneNote, PDF, HTML, ZIP veya LNK gibi iyi bilinen dosya türlerini kullanır. Tehdit İstihbaratı Müdürü Sergey Shykevich şöyle diyor: Kontrol Noktası Araştırması.
Google'ın yan kuruluşu Mandiant'ın Qakbot hakkında söyledikleri bunlar
Das FBI Qakbot kötü amaçlı yazılım altyapısını etkisiz hale getirmek için dünya çapındaki ortaklarıyla birlikte çalıştı. Altyapı, siber suçlular tarafından fidye yazılımını yaymak için kullanıldı. Fidye yazılımları hâlâ siber suçlular tarafından ekonomik hedeflere ulaşmak için sıklıkla kullanılıyor. M-Trends 2023 araştırma raporuna göre 2022'deki Mandiant araştırmalarının yüzde 18'i fidye yazılımlarını içeriyordu.
Sandra Joyce, Başkan Yardımcısı, Google Cloud'da Mandiant Intelligence şöyle açıklıyor: "Fidye yazılımı, Rusya veya Kuzey Kore gibi ulus devletlerden gelen tehditler kadar ciddiye almamız gereken önemli bir ulusal güvenlik sorunudur. İş modelinin temelleri sağlam ve bu sorun yakın zamanda çözülmeyecek. Elimizdeki araçların birçoğunun kalıcı bir etkisi olmayacak. Bu gruplar iyileşip geri dönecekler. Ancak mümkün olduğunda bu operasyonları duraklatmak gibi ahlaki bir yükümlülüğümüz var."
Arctic Wolf'un Qakbot yorumu
Ördek avı başarılı oldu: medya, FBI'ın, Almanya, Hollanda, Romanya, Letonya ve Letonya'dan gelen güçlerle birlikte "Ördek Avı" adı verilen uluslararası kolluk kuvvetleri operasyonunun bir parçası olarak Qakbot kötü amaçlı yazılımıyla kontrol edilen botnet'i ortadan kaldırmayı başardığını bildirdi. Birleşik Krallık oldu.
"Qakbot'a yönelik "ördek avının" başarılı olması iki nedenden dolayı olumlu: Bir yandan uluslararası kolluk kuvvetlerinin giderek daha iyi bir şekilde birlikte çalıştığını görüyoruz, diğer yandan da bu durumun bir başka işaret olduğunu düşünüyoruz. Organize siber suçlar peşlerinde ve yaramazlıklarını rahatsız edilmeden yapamıyorlar.
Ancak yine de bu önemli gelişmeyi abartmamak gerekir. Botnet şimdilik yok edilmiş olsa da, kötü amaçlı yazılımların kaynak kodları tıpkı geliştiricileri gibi hâlâ mevcut. Birkaç hafta veya ay içinde yeniden toplanıp 'çalışmalarına' devam etmeleri bekleniyor.
Şirketler kimlik bilgilerinin Qakbot aktörleri tarafından çalınıp çalınmadığını kontrol edebilir. Bu, kendi e-posta adresinizi sağlayarak çalışır Ben Pwned Var mı veya Hollanda polisinin web sitesinde." Yani Dr. Sebastian Schmerl, Güvenlik Hizmetleri EMEA Direktörü Kutup kurdu.