Conséquences du retrait de Qakbot : atténuations et protection contre les menaces futures

teknomers


01 décembre 2023L’actualité des hackersLogiciels malveillants/cybermenaces

Le ministère américain de la Justice (DOJ) et le FBI ont récemment collaboré dans le cadre d’une opération multinationale visant à démanteler le célèbre malware et botnet Qakbot. Bien que l’opération ait réussi à contrecarrer cette menace de longue date, des inquiétudes ont surgi car il semble que Qakbot puisse encore représenter un danger sous une forme réduite. Cet article traite des conséquences du retrait, propose des stratégies d’atténuation et propose des conseils pour déterminer les infections passées.

Le retrait et ses limites

Au cours de l’opération de retrait, les forces de l’ordre ont obtenu des ordonnances du tribunal pour supprimer à distance le logiciel malveillant Qakbot des appareils infectés. Il a été découvert que le logiciel malveillant avait infecté un nombre important d’appareils, 700 000 machines dans le monde, dont 200 000 aux États-Unis, étant compromises au moment du retrait. Cependant, des rapports récents suggèrent que Qakbot est toujours actif mais dans un état diminué.

L’absence d’arrestations lors de l’opération de retrait indique que seuls les serveurs de commande et de contrôle (C2) ont été affectés, laissant l’infrastructure de distribution de spam intacte. Par conséquent, les acteurs malveillants derrière Qakbot continuent d’opérer, représentant une menace permanente.

Atténuations pour une protection future

Pour se prémunir contre une résurgence potentielle de Qakbot ou des menaces similaires, le FBI et la Cybersecurity & Infrastructure Security Agency (CISA) recommandent plusieurs mesures d’atténuation clés :

  1. Exiger une authentification multifacteur (MFA) : Mettez en œuvre la MFA pour l’accès à distance aux réseaux internes, en particulier dans les secteurs d’infrastructures critiques comme la santé. MFA est très efficace pour prévenir les cyberattaques automatisées.
  2. Organisez régulièrement des formations sur la sécurité des employés : Éduquez les employés sur les meilleures pratiques de sécurité, notamment en évitant de cliquer sur des liens suspects. Encouragez des pratiques telles que vérifier la source des liens et saisir les noms de sites Web directement dans les navigateurs.
  3. Mettre à jour le logiciel d’entreprise : Gardez les systèmes d’exploitation, les applications et les micrologiciels à jour. Utilisez des systèmes de gestion centralisés des correctifs pour garantir des mises à jour en temps opportun et évaluer le risque pour chaque actif réseau.
  4. Éliminez les mots de passe faibles : Respectez les directives du NIST concernant les politiques de mot de passe des employés et donnez la priorité à l’authentification multifacteur plutôt qu’à la confiance dans les mots de passe dans la mesure du possible.
  5. Filtrer le trafic réseau : Bloquez les communications entrantes et sortantes avec des adresses IP malveillantes connues en mettant en œuvre des listes de blocage/autorisation.
  6. Élaborer un plan de rétablissement : Préparer et maintenir un plan de reprise pour guider les équipes de sécurité en cas de faille.
  7. Suivez la règle de sauvegarde « 3-2-1 » : Conservez au moins trois copies des données critiques, dont deux stockées dans des emplacements distincts et une stockée hors site.

Vérification des infections passées

Pour les personnes préoccupées par les infections passées par Qakbot, il y a de bonnes nouvelles. Le DOJ a récupéré plus de 6,5 millions de mots de passe et d’identifiants volés auprès des opérateurs de Qakbot. Pour vérifier si vos informations de connexion ont été exposées, vous pouvez utiliser les ressources suivantes :

  1. Ai-je été pwned : Ce site très connu vous permet de vérifier si votre adresse e-mail a été compromise lors de violations de données. Il inclut désormais l’ensemble de données Qakbot dans sa base de données.
  2. Vérifiez votre hack : Créé par la police nationale néerlandaise à partir des données saisies par Qakbot, ce site vous permet de saisir votre adresse e-mail et fournit une notification automatique par e-mail si votre adresse est trouvée dans l’ensemble de données.
  3. La liste des pires mots de passe au monde : Étant donné que Qakbot utilise une liste de mots de passe courants pour les attaques par force brute, vous pouvez consulter cette liste pour vous assurer que votre mot de passe n’est pas parmi les pires.

Conclusion

Même si le démantèlement de Qakbot constitue une réussite importante, le paysage des menaces reste complexe. Il existe une possibilité de résurgence de Qakbot, compte tenu de la capacité d’adaptation et des ressources de ses opérateurs. Rester vigilant et mettre en œuvre des mesures de sécurité est crucial pour prévenir de futures infections. BlackBerry CylanceENDPOINT est recommandée pour se protéger contre l’exécution de Qakbot, et des règles spécifiques dans CylanceOPTICS peuvent améliorer la protection contre les menaces comme Qakbot.

Pour plus d’informations et de ressources sur les atténuations, visitez le Page de ressources Qakbot du DOJ.

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57