Los avistamientos de Qakbot confirman que la eliminación de las fuerzas del orden fue solo un revés

Los avistamientos de Qakbot confirman que la eliminación de las fuerzas del orden fue solo un revés

Marca de tiempo: 19 de diciembre de 2023 6:05 p.m.
Los avistamientos de Qakbot confirman que la eliminación de las fuerzas del orden fue solo un revés PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

El malware Qakbot ha regresado menos de cuatro meses después de que las autoridades estadounidenses e internacionales desmantelaran su infraestructura de distribución en una operación ampliamente aclamada denominada “Caza de patos."

En los últimos días, varios proveedores de seguridad informaron haber visto el malware distribuido a través de correos electrónicos de phishing dirigidos a organizaciones del sector hotelero. Por el momento, los volúmenes de correo electrónico parecen ser relativamente bajos. Pero dada la tenacidad que los operadores de Qakbot han demostrado en el pasado, probablemente no pasará mucho tiempo antes de que el volumen vuelva a aumentar.

Volúmenes bajos: hasta ahora

El grupo de inteligencia de amenazas de Microsoft estimó que la nueva campaña comenzó el 11 de diciembre, basándose en una marca de tiempo en la carga útil utilizada en los ataques recientes. Los objetivos han recibido correos electrónicos con un archivo PDF adjunto de un usuario que afirma ser un empleado del IRS, dijo la compañía en múltiples publicaciones en X, la plataforma antes conocida como Twitter. "El PDF contenía una URL que descarga un instalador de Windows (.msi) firmado digitalmente", publicó Microsoft. "La ejecución del MSI llevó a que se invocara Qakbot mediante la ejecución de exportación 'hvsi' de una DLL integrada". Los investigadores describieron la versión de Qakbot que el actor de amenazas está distribuyendo en la nueva campaña como una versión nunca antes vista.

Zscaler también observó cómo aparecía el malware. En una publicación en X, la empresa identificado la nueva versión como 64 bits, utilizando AES para el cifrado de red y enviando solicitudes POST a una ruta específica en sistemas comprometidos. Proofpoint confirmó avistamientos similares un día después, al tiempo que señala que los archivos PDF de la campaña actual se han distribuido al menos desde el 28 de noviembre.

Amenaza que prevalece desde hace mucho tiempo

Qakbot es un malware particularmente nocivo que existe desde al menos 2007. Sus autores originalmente utilizaron el malware como un troyano bancario, pero en los últimos años adoptaron un modelo de malware como servicio. Los actores de amenazas generalmente han distribuido el malware a través de correos electrónicos de phishing y los sistemas infectados generalmente pasan a formar parte de una red de bots más grande. En el momento del derribo En agosto, las autoridades identificaron hasta 700,000 sistemas infectados por Qakbot en todo el mundo, unos 200,000 de los cuales estaban ubicados en Estados Unidos.

Los actores afiliados a Qakbot lo han utilizado cada vez más como vehículo para lanzar otro malware, sobre todo Cobalt Strike. Ratel bruto, y una gran cantidad de ransomware. En muchos casos, los corredores de acceso inicial han utilizado Qakbot para obtener acceso a una red objetivo y luego han vendido ese acceso a otros actores de amenazas. "Se sabe que las infecciones QakBot preceden a la implementación de ransomware operado por humanos, incluidos Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal y PwndLocker", señala el informe. Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. señaló en una declaración que anunciaba el derribo de las fuerzas del orden a principios de este año.

El derribo solo ralentizó el Qakbot

Los recientes avistamientos de malware Qakbot parecen confirmar lo que algunos proveedores han informado en los últimos meses: la eliminación por parte de las fuerzas del orden tuvo menos impacto en los actores Quakbot de lo que generalmente se percibe.

En octubre, por ejemplo, los cazadores de amenazas en Cisco Talos informó que actores afiliados a Qakbot continuaban distribuyendo la puerta trasera Remcos y el ransomware Ransom Knight en las semanas y meses posteriores a la incautación de la infraestructura de Qakbot por parte del FBI. El investigador de seguridad de Talos, Guilherme Venere, vio esto como una señal de que la operación policial de agosto puede haber eliminado sólo los servidores de comando y control de Qakbot y no sus mecanismos de entrega de spam.

"Aunque no hemos visto a los actores de amenazas distribuyendo Qakbot después de la destrucción de la infraestructura, evaluamos que el malware seguirá representando una amenaza significativa en el futuro", dijo Venere en ese momento. "Consideramos que esto es muy probable ya que los desarrolladores no fueron arrestados y todavía están operativos, lo que abre la posibilidad de que opten por reconstruir la infraestructura de Qakbot".

La empresa de seguridad Lumu dijo que contabilizó un total de 1,581 intentos de ataques a sus clientes en septiembre atribuibles a Qakbot. En los meses siguientes, la actividad se ha mantenido más o menos al mismo nivel, según la empresa. La mayoría de los ataques se han dirigido a organizaciones de los sectores financiero, manufacturero, educativo y gubernamental.

La continua distribución del malware por parte del grupo de amenazas indica que logró evadir consecuencias significativas, dice el director ejecutivo de Lumu, Ricardo Villadiego. La capacidad del grupo para continuar operando depende principalmente de la viabilidad económica, las capacidades técnicas y la facilidad para establecer nueva infraestructura, señala. "Dado que el modelo de ransomware sigue siendo rentable y los esfuerzos legales no se han dirigido específicamente a los individuos y la estructura subyacente de estas operaciones criminales, neutralizar completamente cualquier red de malware como esta resulta un desafío".

Sello de tiempo:

Mas de Lectura oscura