Il Dipartimento di Giustizia degli Stati Uniti (DOJ) e l’FBI hanno recentemente collaborato in un’operazione multinazionale per smantellare il noto malware e botnet Qakbot. Sebbene l’operazione sia stata efficace nel disturbare questa minaccia di lunga data, sono emerse preoccupazioni poiché Qakbot potrebbe ancora rappresentare un pericolo, seppur ridotto. Questo articolo esplora le conseguenze dello smantellamento, fornisce strategie di mitigazione e offre orientamenti per identificare infezioni passate.
Limitazioni dello smantellamento e persistenza della minaccia
Durante l’operazione, le forze dell’ordine hanno ottenuto ordini giudiziari per rimuovere il malware Qakbot da dispositivi infetti a distanza. È stato scoperto che il malware aveva infettato un numero significativo di dispositivi, con 700.000 macchine a livello globale, incluse 200.000 negli Stati Uniti, compromesse al momento dello smantellamento. Tuttavia, recenti rapporti suggeriscono che Qakbot è ancora attivo, sebbene in uno stato diminuito. L’assenza di arresti durante l’operazione indica che solo i server di comando e controllo (C2) sono stati colpiti, lasciando intatta l’infrastruttura di consegna dello spam. Pertanto, gli attori della minaccia dietro Qakbot continuano a operare, rappresentando una minaccia in corso.
Strategie di Mitigazione per una protezione futura
Per proteggersi da una possibile rinascita di Qakbot o minacce simili, l’FBI e l’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity (CISA) raccomandano diverse mitigazioni chiave:
- Implementare l’Autenticazione Multi-Fattore (MFA) per l’accesso remoto alle reti interne, in particolare nei settori delle infrastrutture critiche come la sanità.
- Condurre regolarmente formazione sulla sicurezza per i dipendenti, educandoli sulle migliori pratiche di sicurezza.
- Aggiornare il software aziendale, mantenendo sistemi operativi, applicazioni e firmware aggiornati.
- Eliminare le password deboli, conformandosi alle linee guida NIST per le politiche delle password dei dipendenti.
- Filtrare il traffico di rete, bloccando le comunicazioni in entrata e in uscita con indirizzi IP noti per essere malevoli.
- Sviluppare un piano di recupero per guidare i team di sicurezza in caso di violazione.
- Seguire la regola di backup “3-2-1”, mantenendo almeno tre copie dei dati critici.
Verifica di Infezioni Passate
Per coloro che sono preoccupati di infezioni passate da Qakbot, c’è una buona notizia. Il DOJ ha recuperato oltre 6,5 milioni di password e credenziali rubate dagli operatori di Qakbot. Per verificare se le proprie informazioni di accesso sono state esposte, è possibile utilizzare risorse come “Have I Been Pwned” e “Check Your Hack” oppure la pagina ufficiale del Doj