Министерство юстиции США (DOJ) и ФБР недавно совместно провели многонациональную операцию по уничтожению печально известной вредоносной программы Qakbot и ботнета. Хотя операция по устранению этой долговременной угрозы была успешной, возникли опасения, поскольку, похоже, Qakbot все еще может представлять опасность в уменьшенной форме. В этой статье рассматриваются последствия удаления, предлагаются стратегии смягчения последствий и предлагаются рекомендации по определению прошлых заражений.
Удаление и его ограничения
В ходе операции по удалению правоохранительные органы получили судебные приказы удаленно удалять вредоносную программу Qakbot с зараженных устройств. Было обнаружено, что вредоносная программа заразила значительное количество устройств: 700 000 компьютеров по всему миру, включая 200 000 компьютеров в США, были скомпрометированы на момент удаления. Однако недавние сообщения свидетельствуют о том, что Qakbot все еще активен, но в ослабленном состоянии.
Отсутствие арестов во время операции удаления указывает на то, что были затронуты только командно-контрольные серверы (C2), в результате чего инфраструктура доставки спама осталась нетронутой. Таким образом, злоумышленники, стоящие за Qakbot, продолжают действовать, представляя постоянную угрозу.
Меры по смягчению последствий для будущей защиты
Для защиты от потенциального возрождения Qakbot или аналогичных угроз ФБР и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) рекомендуют несколько ключевых мер по смягчению последствий:
Проверка на наличие прошлых заражений
Для лиц, обеспокоенных прошлыми заражениями Qakbot, есть несколько хороших новостей. Министерство юстиции восстановило более 6,5 миллионов украденных паролей и учетных данных у операторов Qakbot. Чтобы проверить, были ли раскрыты ваши регистрационные данные, вы можете воспользоваться следующими ресурсами:
Заключение
Хотя демонтаж Qakbot был значительным достижением, ландшафт угроз остается сложным. Существует вероятность возрождения Qakbot, учитывая адаптивность и ресурсы его операторов. Сохранение бдительности и внедрение мер безопасности имеют решающее значение для предотвращения заражений в будущем. Для защиты от выполнения Qakbot рекомендуется решение BlackBerry CylanceENDPOINT, а специальные правила в CylanceOPTICS могут усилить защиту от угроз, подобных Qakbot.
Для получения дополнительной информации и ресурсов по мерам по смягчению последствий посетите страницу ресурсов Qakbot Министерства юстиции.
Удаление и его ограничения
В ходе операции по удалению правоохранительные органы получили судебные приказы удаленно удалять вредоносную программу Qakbot с зараженных устройств. Было обнаружено, что вредоносная программа заразила значительное количество устройств: 700 000 компьютеров по всему миру, включая 200 000 компьютеров в США, были скомпрометированы на момент удаления. Однако недавние сообщения свидетельствуют о том, что Qakbot все еще активен, но в ослабленном состоянии.
Отсутствие арестов во время операции удаления указывает на то, что были затронуты только командно-контрольные серверы (C2), в результате чего инфраструктура доставки спама осталась нетронутой. Таким образом, злоумышленники, стоящие за Qakbot, продолжают действовать, представляя постоянную угрозу.
Меры по смягчению последствий для будущей защиты
Для защиты от потенциального возрождения Qakbot или аналогичных угроз ФБР и Агентство по кибербезопасности и инфраструктурной безопасности (CISA) рекомендуют несколько ключевых мер по смягчению последствий:
- Требуется многофакторная аутентификация (MFA): Внедрите MFA для удаленного доступа к внутренним сетям, особенно в критически важных секторах инфраструктуры, таких как здравоохранение. MFA очень эффективен в предотвращении автоматизированных кибератак.
- Регулярно проводите тренинги для сотрудников по безопасности: обучайте сотрудников передовым методам обеспечения безопасности, включая отказ от перехода по подозрительным ссылкам. Поощряйте такие методы, как проверка источника ссылок и ввод названий веб-сайтов непосредственно в браузеры.
- Обновляйте корпоративное программное обеспечение: обновляйте операционные системы, приложения и встроенное программное обеспечение. Используйте централизованные системы управления исправлениями для обеспечения своевременных обновлений и оценки риска для каждого сетевого актива.
- Устраните слабые пароли: Соблюдайте руководящие принципы NIST для политик паролей сотрудников и отдавайте приоритет MFA, а не надежности паролей, где это возможно.
- Фильтруйте сетевой трафик: блокируйте входящие и исходящие сообщения с известными вредоносными IP-адресами, внедряя списки блокировки / разрешения.
- Разработайте план восстановления: Подготовьте и поддерживайте в рабочем состоянии план восстановления для руководства командами безопасности в случае взлома.
- Следуйте правилу резервного копирования "3-2-1": поддерживайте по крайней мере три копии критически важных данных, две из которых хранятся в разных местах, а одна - за пределами сайта.
Проверка на наличие прошлых заражений
Для лиц, обеспокоенных прошлыми заражениями Qakbot, есть несколько хороших новостей. Министерство юстиции восстановило более 6,5 миллионов украденных паролей и учетных данных у операторов Qakbot. Чтобы проверить, были ли раскрыты ваши регистрационные данные, вы можете воспользоваться следующими ресурсами:
- Был ли я оштрафован: Этот широко известный сайт позволяет вам проверить, не был ли скомпрометирован ваш адрес электронной почты в результате утечки данных. Теперь он включает набор данных Qakbot в свою базу данных.
- Проверьте свой взлом: Созданный Национальной полицией Нидерландов с использованием изъятых данных Qakbot, этот сайт позволяет вам ввести свой адрес электронной почты и предоставляет автоматическое уведомление по электронной почте, если ваш адрес найден в наборе данных.
- Список худших паролей в мире: Поскольку Qakbot использует список распространенных паролей для атак методом перебора, вы можете проверить этот список, чтобы убедиться, что ваш пароль не входит в число худших.
Заключение
Хотя демонтаж Qakbot был значительным достижением, ландшафт угроз остается сложным. Существует вероятность возрождения Qakbot, учитывая адаптивность и ресурсы его операторов. Сохранение бдительности и внедрение мер безопасности имеют решающее значение для предотвращения заражений в будущем. Для защиты от выполнения Qakbot рекомендуется решение BlackBerry CylanceENDPOINT, а специальные правила в CylanceOPTICS могут усилить защиту от угроз, подобных Qakbot.
Для получения дополнительной информации и ресурсов по мерам по смягчению последствий посетите страницу ресурсов Qakbot Министерства юстиции.
