Mitigaties en bescherming tegen toekomstige bedreigingen

Cyberbeveiliging
Qakbot

Het Amerikaanse ministerie van Justitie (DOJ) en de FBI hebben onlangs samengewerkt in een multinationale operatie om de beruchte Qakbot-malware en -botnet te ontmantelen. Hoewel de operatie succesvol was in het ontwrichten van deze langdurige dreiging, zijn er zorgen ontstaan ​​omdat het erop lijkt dat Qakbot in beperkte vorm nog steeds een gevaar kan vormen. Dit artikel bespreekt de nasleep van de verwijdering, biedt mitigatiestrategieën en biedt richtlijnen voor het vaststellen van eerdere infecties.

De takedown en zijn beperkingen

Tijdens de verwijderingsoperatie heeft de politie gerechtelijke bevelen verkregen om de Qakbot-malware op afstand van geïnfecteerde apparaten te verwijderen. Er werd ontdekt dat de malware een aanzienlijk aantal apparaten had geïnfecteerd, waarbij 700.000 machines wereldwijd, waaronder 200.000 computers in de VS, gecompromitteerd waren op het moment van de verwijdering. Recente rapporten suggereren echter dat Qakbot nog steeds actief is, maar in een verminderde staat.

Het uitblijven van arrestaties tijdens de verwijderingsoperatie geeft aan dat alleen de command-and-control (C2)-servers werden getroffen, waardoor de infrastructuur voor het bezorgen van spam onaangetast bleef. Daarom blijven de dreigingsactoren achter Qakbot opereren en vormen ze een voortdurende dreiging.

Maatregelen voor toekomstige bescherming

Om bescherming te bieden tegen een mogelijke heropleving van Qakbot of soortgelijke bedreigingen, bevelen de FBI en de Cybersecurity & Infrastructure Security Agency (CISA) verschillende belangrijke maatregelen aan:

  1. Multi-Factor Authenticatie (MFA) vereisen: Implementeer MFA voor externe toegang tot interne netwerken, vooral in kritieke infrastructuursectoren zoals de gezondheidszorg. MFA is zeer effectief in het voorkomen van geautomatiseerde cyberaanvallen.
  2. Geef regelmatig beveiligingstrainingen voor medewerkers: Informeer werknemers over best practices op het gebied van beveiliging, inclusief het vermijden van klikken op verdachte links. Stimuleer praktijken zoals het verifiëren van de bron van links en het rechtstreeks intypen van websitenamen in browsers.
  3. Bedrijfssoftware updaten: Houd besturingssystemen, applicaties en firmware up-to-date. Gebruik gecentraliseerde patchbeheersystemen om tijdige updates te garanderen en het risico voor elk netwerkmiddel te beoordelen.
  4. Elimineer zwakke wachtwoorden: Voldoe aan de NIST-richtlijnen voor het wachtwoordbeleid voor medewerkers en geef waar mogelijk voorrang aan MFA boven het vertrouwen op wachtwoorden.
  5. Netwerkverkeer filteren: Blokkeer inkomende en uitgaande communicatie met bekende kwaadaardige IP-adressen door blokkeer-/toegestane lijsten te implementeren.
  6. Ontwikkel een herstelplan: Een herstelplan opstellen en onderhouden om beveiligingsteams te begeleiden in geval van een inbreuk.
  7. Volg de “3-2-1” back-upregel: Bewaar ten minste drie kopieën van kritieke gegevens, waarvan er twee op afzonderlijke locaties worden opgeslagen en één extern wordt opgeslagen.

Controleren op eerdere infecties

Voor mensen die zich zorgen maken over eerdere Qakbot-infecties is er goed nieuws. Het DOJ heeft meer dan 6,5 miljoen gestolen wachtwoorden en inloggegevens van Qakbot-operators teruggevonden. Om te controleren of uw inloggegevens openbaar zijn gemaakt, kunt u de volgende bronnen gebruiken:

  1. Ben ik gepwnd: Op deze alom bekende site kunt u controleren of uw e-mailadres is aangetast door datalekken. Het bevat nu de Qakbot-dataset in zijn database.
  2. Controleer uw hack: Op deze site, gemaakt door de Nationale Politie met behulp van de in beslag genomen gegevens van Qakbot, kunt u uw e-mailadres invoeren en ontvangt u automatisch een e-mailmelding als uw adres in de dataset wordt gevonden.
  3. Lijst met slechtste wachtwoorden ter wereld: Omdat Qakbot een lijst met veelgebruikte wachtwoorden voor brute-force-aanvallen gebruikt, kunt u deze lijst controleren om er zeker van te zijn dat uw wachtwoord niet tot de slechtste behoort.

Conclusie

Hoewel de uitschakeling van Qakbot een belangrijke prestatie was, blijft het dreigingslandschap complex. Er is een mogelijkheid voor een heropleving van Qakbot, gezien het aanpassingsvermogen en de middelen van de operators. Waakzaam blijven en beveiligingsmaatregelen implementeren is cruciaal om toekomstige infecties te voorkomen. BlackBerry’s CylanceENDPOINT-oplossing wordt aanbevolen om te beschermen tegen de uitvoering van Qakbot, en specifieke regels binnen CylanceOPTICS kunnen de bescherming tegen bedreigingen zoals Qakbot verbeteren.

Bezoek de Qakbot-bronnenpagina van het DOJ voor aanvullende informatie en bronnen over oplossingen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

De goedkopere streamingdienst met veel inhoud

Heimelijke Chinese hackers hebben informatie gestolen van NXP Semiconductors

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]