Azaltmalar ve Gelecekteki Tehditlere Karşı Koruma

01 Aralık 2023Hacker HaberleriKötü Amaçlı Yazılım / Siber Tehdit

ABD Adalet Bakanlığı (DOJ) ve FBI yakın zamanda kötü şöhretli Qakbot kötü amaçlı yazılımını ve botnet’i ortadan kaldırmak için çok uluslu bir operasyonda işbirliği yaptı. Operasyon, uzun süredir devam eden bu tehdidi ortadan kaldırmada başarılı olsa da, Qakbot’un azaltılmış haliyle hala bir tehlike oluşturabileceği yönünde endişeler ortaya çıktı. Bu makalede, yayından kaldırmanın ardından yaşananlar ele alınmakta, hafifletme stratejileri sağlanmakta ve geçmiş enfeksiyonların belirlenmesine ilişkin rehberlik sunulmaktadır.

Yayından Kaldırma ve Sınırlamaları

Kaldırma operasyonu sırasında kolluk kuvvetleri, Qakbot kötü amaçlı yazılımını virüslü cihazlardan uzaktan kaldırmak için mahkeme emirlerini aldı. Kötü amaçlı yazılımın önemli sayıda cihaza bulaştığı ve kaldırma sırasında ABD’deki 200.000 bilgisayar da dahil olmak üzere dünya çapında 700.000 makinenin ele geçirildiği keşfedildi. Ancak son raporlar Qakbot’un hala aktif olduğunu ancak küçülmüş bir durumda olduğunu gösteriyor.

Yayından kaldırma operasyonu sırasında tutuklama olmaması, yalnızca komuta ve kontrol (C2) sunucularının etkilendiğini ve spam dağıtım altyapısına dokunulmadığını gösteriyor. Bu nedenle Qakbot’un arkasındaki tehdit aktörleri faaliyetlerini sürdürüyor ve devam eden bir tehdit oluşturuyor.

Gelecekteki Korumaya Yönelik Azaltmalar

Potansiyel Qakbot yeniden dirilişine veya benzer tehditlere karşı korunmak için FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), birkaç önemli hafifletme önlemi önermektedir:

1. Çok Faktörlü Kimlik Doğrulama (MFA) gerektir: Özellikle sağlık gibi kritik altyapı sektörlerinde dahili ağlara uzaktan erişim için MFA’yı uygulayın. MFA, otomatik siber saldırıları önlemede oldukça etkilidir.
2. Çalışan Güvenliği Eğitimini Düzenli Olarak Gerçekleştirin: Şüpheli bağlantılara tıklamaktan kaçınmak da dahil olmak üzere çalışanları en iyi güvenlik uygulamaları konusunda eğitin. Bağlantıların kaynağını doğrulamak ve web sitesi adlarını doğrudan tarayıcılara yazmak gibi uygulamaları teşvik edin.
3. Kurumsal Yazılımı Güncelleyin: İşletim sistemlerini, uygulamaları ve ürün yazılımını güncel tutun. Güncellemelerin zamanında yapılmasını sağlamak ve her ağ varlığına ilişkin riski değerlendirmek için merkezi yama yönetimi sistemlerini kullanın.
4. Zayıf Şifreleri Ortadan Kaldırın: Çalışan parola politikalarına ilişkin NIST yönergelerine uyun ve mümkün olan her yerde parola bağımlılığı yerine MFA’ya öncelik verin.
5. Ağ Trafiğini Filtrele: Engelleme/izin verme listelerini uygulayarak, bilinen kötü amaçlı IP adresleriyle gelen ve giden iletişimleri engelleyin.
6. Bir Kurtarma Planı Geliştirin: İhlal durumunda güvenlik ekiplerine rehberlik edecek bir kurtarma planı hazırlayın ve sürdürün.
7. “3-2-1” Yedekleme Kuralını izleyin: Kritik verilerin en az üç kopyasını saklayın; ikisi ayrı konumlarda ve biri tesis dışında saklanmalıdır.

Geçmiş Enfeksiyonları Kontrol Etme

Geçmişteki Qakbot enfeksiyonlarından endişe duyanlar için bazı iyi haberler var. DOJ, Qakbot operatörlerinden 6,5 milyonun üzerinde çalıntı şifre ve kimlik bilgisini kurtardı. Giriş bilgilerinizin açığa çıkıp çıkmadığını kontrol etmek için aşağıdaki kaynakları kullanabilirsiniz:

1. Ben Pwned oldum mu: Yaygın olarak bilinen bu site, e-posta adresinizin veri ihlallerinde ele geçirilip geçirilmediğini kontrol etmenize olanak tanır. Artık Qakbot veri kümesini veritabanına dahil ediyor.
2. Hack’inizi Kontrol Edin: Hollanda Ulusal Polisi tarafından Qakbot’un ele geçirilen verileri kullanılarak oluşturulan bu site, e-posta adresinizi girmenize olanak tanıyor ve adresiniz veri kümesinde bulunursa otomatik bir e-posta bildirimi sağlıyor.
3. Dünyanın En Kötü Şifreleri Listesi: Qakbot, kaba kuvvet saldırıları için ortak şifrelerin bir listesini kullandığından, şifrenizin en kötüler arasında olmadığından emin olmak için bu listeyi kontrol edebilirsiniz.

Çözüm

Qakbot’un ortadan kaldırılması önemli bir başarı olsa da tehdit ortamı karmaşık olmaya devam ediyor. Operatörlerinin uyarlanabilirliği ve kaynakları göz önüne alındığında, Qakbot’un yeniden canlanma olasılığı var. Dikkatli kalmak ve güvenlik önlemlerini uygulamak, gelecekteki enfeksiyonları önlemek için çok önemlidir. BlackBerry’nin CylanceENDPOINT Qakbot’un yürütülmesine karşı koruma sağlamak için çözüm önerilir ve CylanceOPTICS içindeki belirli kurallar, Qakbot gibi tehditlere karşı korumayı artırabilir.

Azaltımlara ilişkin ek bilgi ve kaynaklar için şu adresi ziyaret edin: DOJ’un Qakbot kaynakları sayfası.