Qakbot virus napokon zaustavljen! Preventivno poverite vaš računar

Internacionalna operacija prozvana “Duck Hunt” pre par dana je ugasila Qakbot botnet koji je služio mnogim hakerskim grupama da postave temelj za ransomware infekcije. U ovoj operaciji učestvovale su Sjedinjene Američke Države, Francuska, Nemačka, Holandija, Ujedinjeno Kraljevstvo, Rumunija i Latvija, a operaciju je vodio FBI (Federal Bureau of Investigation).

Istorija Qakbot-a

Qakbot je prvi put primećen 2007/2008 godine kada je postojao kao klasičan virus, odnosno trojanac. Korišćen je za krađu bankarskih kredencijala, a kao način rasprostranjivanja koristio je phishing kampanju koja je sadržala maliciozne priloge ili linkove koji bi skinuli sam virus na računar.

Od ovog perioda, Qakbot je dosta napredovao i danas je poznat kao botnet i vrsta virusa koja se može koristiti za razne stvari poput “izviđanja” i prikupljanje podataka sa nekog računara ili kao način da se neki računar zarazi nekim drugim virusom poput ransomware-a.

Kako FBI navodi, samo u periodu od oktobra 2021. godine do aprila 2023. godine, Qakbot je “zaradio” 58 miliona dolara od ransomware uplata.

Operacija Duck Hunt

Dana 29.08.2023. preuzeta je kontrola nad Qakbot botnetom i isti je ugašen. Pored toga preuzeta je lista svih kompromitovanih mail adresa koje su služile za širenje virusa. Ova lista je prosleđena svim agencijama koje su učestvovale u akciji, kao i dodatnim organizacijama čiji je posao da pomognu u obaveštavanju i oporavku od Qakbot-a.

Ono što je zanimljivo u vezi operacije Duck Hunt je što je korišćena nova tehnika za suzbijanje uticaja ovog botneta. Koristeći servere nad kojima je FBI imao kontrolu, zaraženim računarima je prosleđivan alat za stopiranje virusa. Ovaj alat je kreiran specifično za Qakbot. Pored toga što prekida vezu zaraženog računara sa botnetom, osigurava da se na inficiranim računarima više ne mogu pokrenuti Qakbot skripte.

Sam alat ubacuje u Qakbot komandu za gašenje. Čak i ako je Qakbot uspeo da zakaže svoje novo startovanje, alat će ga stopirati nakon aktivacije i tako će se ponavljati.

Kako proveriti da li je vaš računar zaražen Qakbot-om?

Nakon dužeg istraživanja Qakbot-a, primećene su tipične pojave na zaraženim računarima:

• Qakbot će koristeći Registry Run Key po potrebi dodavati ključ potreban za startovanje samog virusa prilikom restarta. Dok je sistem aktivan, ključ će biti obrisan, a pre restarta računara ključ će opet biti dodat:
  HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\<nasumičan_string>
• Qakbot će takođe upisati binarni kod potreban za sam rad virusa u fajlovima na sledećoj lokaciji:
  C:\Users\<korisnik>\AppData\Roaming\Microsoft\<nasumičan_string>\
• Qakbot će upisati enkriptovanu konfiguraciju sa detaljnim informacijama o botu u sledeći ključ:
  HKEY_CURRENT_USER\Software\Microsoft\<nasumičan_string>

Pored toga što vaš računar može biti zaražen, mogu biti i ukradeni kredencijali nekog od vaših mail naloga i na taj način isti može biti zloupotrebljen. Da proverite da li je vaš mail nalog kompromitovan, možete koristiti sajt Holandske policije. Sve što je potrebno jeste da uneste vaš mail nalog u polje za unos i kliknete Check. Ukoliko je vaš mail nalog na listi zaraženih mail naloga, dobićete povratni mail od holandske policije, ukoliko nije, neće vam stići nikakav mail.

Nevezano za Qakbot, ukoliko želite da proverite da li su neki od vaših podataka vezani za neku mail adresu “procureli”, možete koristiti sajt Have I Been Pwned?. Ovaj sajt će izlistati sve servise za koje je vaša mail adresa vezana, a da su u prošlosti imali bilo kakav upad u bazu podataka korisnika. Pored toga, navešće i kada se to desilo i koji sve podaci su procureli.

Oporavak od Qakbot-a

Srećom, kada su u pitanju mail adrese koje su korišćene za širenje virusa, dovoljno je samo promeniti lozinku. Što se tiče zaraženih računara, ne zna se još koliko računara je očišćeno, ali je ova akcija počela 25.08.2023.

Ukoliko je na bilo koji način kompromitovana lozinka nekog vašeg mail naloga, potrebno je da je promenite što pre, a poželjno je i da promenite lozinke na svim drugim servisima gde je korišćena ista ta lozinka.

Napomena: Veoma je bitno da znate, hosting kompanije čiji klijenti su imali mail naloge zahvaćene ovim virusom su dobili listu problematičnih mail naloga od Spamhaus-a. Ukoliko ste naš korisnik i vaš mail nalog je kompromitovan, naša tehnička podrška vam je dostavila sve potrebne informacije i predloge kako se osigurati.

Da li je zaista ovo kraj Qakbot-a?

Pored svih uspeha ove operacije, niko nije uhapšen vezano za Qakbot. Očekuje se da će kreatori Qakbot-a u narednim mesecima početi da ponovo grade svoju infrastrukturu kroz phishing kampanje i/ili koristeći druge botnet mreže.