El pasado mes de agosto, La acción internacional dañó la infraestructura de la botnet Qakbot.. El FBI había identificado más de 700.000 computadoras en todo el mundo, incluidas más de 200.000 en Estados Unidos. En Francia, 26.000 sistemas se vieron comprometidos y 6 servidores de los 170 detrás del bot estaban presentes. Estas operaciones llevadas a cabo en varios países debían asestar un golpe mortal a esta red de PC zombies. Según investigadores de Talos (una unidad de seguridad de Cisco), los creadores de la botnet aún permanecen activos.

Según su informeEstos expertos dicen con "moderada confianza" que los creadores y operadores de Qakbot están trabajando en una próxima campaña. Esta vez están distribuyendo una variante del malware Knight, que cambió de nombre en julio tras llamarse Cyclops. Knight es un RaaS (ransomware como servicio), que se distribuye mediante phishing y practica la extorsión con datos exfiltrados.

Índice
  1. Resurge el rastro de viejos ataques
  2. Una amenaza formidable

Resurge el rastro de viejos ataques

El equipo de Talos basó su análisis en la identificación de números de serie de unidades en los metadatos de archivos LNK (accesos directos de Windows) de computadoras asociadas con ataques Qakbot anteriores. A pesar de los intentos de los actores de Qakbot de eliminar los metadatos de los archivos, los investigadores aparentemente pudieron identificar una máquina vinculada a estos ataques.

"Algunos nombres de archivos están escritos en italiano, lo que sugiere que los ciberdelincuentes tienen como objetivo a los usuarios de esta región", dice el blog de Talos. "Los archivos LNK se distribuyen en archivos Zip que también contienen un archivo XLL". Estos últimos, señalan los expertos, son una extensión de formato de archivo relacionada con Microsoft Excel, que aparece como archivos .xls normales en una ventana del Explorador. Si se abren, los archivos XLL instalan la puerta trasera Remcos, una herramienta de administración remota que funciona junto con Knight para acceder a sistemas específicos.

Una amenaza formidable

No obstante, esto significa que la represión del FBI, que derribó los servidores de comando y control de Qakbot en agosto, probablemente no afectó la infraestructura de phishing del grupo. Por lo tanto, podría simplemente reconstruir sus propios sistemas backend para Qakbot, lo que conduciría a un posible resurgimiento.

Desde su creación en 2008, el malware Qakbot se ha utilizado en ataques de ransomware y otros delitos cibernéticos que han causado pérdidas por cientos de millones de dólares a personas y empresas en Estados Unidos y en el extranjero. En los últimos años, Qakbot se ha convertido en la botnet elegida por algunas de las bandas de ransomware más infames, incluidas Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Según se informa, los administradores de Qakbot recibieron aproximadamente 58 millones de dólares en total en rescates pagados por las víctimas.