Avistamentos de Qakbot confirmam que a derrubada das autoridades foi apenas um revés

O malware Qakbot está de volta menos de quatro meses depois que as autoridades policiais dos EUA e internacionais desmantelaram sua infraestrutura de distribuição em uma operação amplamente aclamada apelidada de “Duck Hunt. "

Nos últimos dias, vários fornecedores de segurança relataram ter visto o malware sendo distribuído por meio de e-mails de phishing direcionados a organizações do setor hoteleiro. No momento, os volumes de e-mail parecem relativamente baixos. Mas dada a tenacidade que os operadores Qakbot demonstraram no passado, provavelmente não demorará muito para que o volume aumente novamente.

Volumes baixos – até agora

O grupo de inteligência de ameaças da Microsoft estimou que a nova campanha começou em 11 de dezembro, com base em um carimbo de data/hora na carga usada nos ataques recentes. Os alvos receberam e-mails com um anexo em PDF de um usuário que afirma ser funcionário do IRS, disse a empresa em várias postagens no X, a plataforma anteriormente conhecida como Twitter. “O PDF continha um URL que baixa um Windows Installer (.msi) assinado digitalmente”, postou a Microsoft. “A execução do MSI fez com que o Qakbot fosse invocado usando a execução de exportação ‘hvsi’ de uma DLL incorporada.” Os pesquisadores descreveram a versão do Qakbot que o ator da ameaça está distribuindo na nova campanha como uma versão nunca antes vista.

Zscaler também observou o surgimento do malware. Em postagem no X, a empresa identificou a nova versão como 64 bits, usando AES para criptografia de rede e enviando solicitações POST para um caminho específico em sistemas comprometidos. Proofpoint confirmou avistamentos semelhantes um dia depois, ao mesmo tempo em que observa que os PDFs da campanha atual foram distribuídos desde pelo menos 28 de novembro.

Ameaça de longa prevalência

Qakbot é um malware particularmente nocivo que existe desde pelo menos 2007. Seus autores usaram originalmente o malware como um Trojan bancário, mas nos últimos anos mudaram para um modelo de malware como serviço. Os agentes de ameaças normalmente distribuem o malware por meio de e-mails de phishing, e os sistemas infectados geralmente se tornam parte de uma botnet maior. No hora da derrubada em agosto, as autoridades policiais identificaram cerca de 700,000 mil sistemas infectados pelo Qakbot em todo o mundo, cerca de 200,000 mil dos quais estavam localizados nos EUA.

Atores afiliados ao Qakbot têm usado-o cada vez mais como um veículo para lançar outros malwares, mais notavelmente o Cobalt Strike, Taxa Bruta, e uma série de ransomware. Em muitos casos, os corretores de acesso inicial usaram o Qakbot para obter acesso a uma rede alvo e posteriormente venderam esse acesso a outros atores de ameaças. “As infecções por QakBot são particularmente conhecidas por preceder a implantação de ransomware operado por humanos, incluindo Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal e PwndLocker”, disse o Agência de Segurança Cibernética e Infraestrutura dos EUA observado em um comunicado anunciando a remoção da aplicação da lei no início deste ano.

Apenas remoção desacelerou Qakbot

Os recentes avistamentos do malware Qakbot parecem confirmar o que alguns fornecedores relataram nos últimos meses: a remoção pelas autoridades teve menos impacto sobre os atores do Quakbot do que geralmente se imagina.

Em Outubro, por exemplo, os caçadores de ameaças em Cisco Talos relataram que atores afiliados ao Qakbot continuaram a distribuir o backdoor Remcos e o ransomware Ransom Knight nas semanas e meses após a apreensão da infraestrutura Qakbot pelo FBI. O pesquisador de segurança da Talos, Guilherme Venere, viu isso como um sinal de que a operação de aplicação da lei de agosto pode ter eliminado apenas os servidores de comando e controle do Qakbot e não seus mecanismos de entrega de spam.

“Embora não tenhamos visto os atores da ameaça distribuindo o próprio Qakbot após a remoção da infraestrutura, avaliamos que o malware continuará a representar uma ameaça significativa no futuro”, disse Venere na época. “Vemos isso como provável, pois os desenvolvedores não foram presos e ainda estão operacionais, abrindo a possibilidade de que eles optem por reconstruir a infraestrutura do Qakbot.”

A empresa de segurança Lumu disse que contou um total de 1,581 tentativas de ataque a seus clientes em setembro, atribuíveis ao Qakbot. Nos meses seguintes, a atividade manteve-se mais ou menos no mesmo nível, segundo a empresa. A maioria dos ataques teve como alvo organizações dos setores financeiro, industrial, educacional e governamental.

A distribuição contínua do malware pelo grupo de ameaças indica que ele conseguiu escapar de consequências significativas, diz o CEO da Lumu, Ricardo Villadiego. A capacidade do grupo de continuar a operar depende principalmente da viabilidade económica, das capacidades técnicas e da facilidade de estabelecer novas infra-estruturas, observa ele. “Como o modelo de ransomware continua lucrativo e os esforços legais não visaram especificamente os indivíduos e a estrutura subjacente dessas operações criminosas, torna-se um desafio neutralizar completamente qualquer rede de malware como esta.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback