La operación multinacional de desmantelamiento, reveló por el FBI y el Departamento de Justicia de Estados Unidos para desmantelar la botnet y el malware conocido como Qakbot, implicó acciones en Estados Unidos, Francia, Alemania, Países Bajos, Reino Unido, Rumania y Letonia. Esta es la primera vez que una acción liderada por Estados Unidos contra la infraestructura de botnets utilizada por los ciberdelincuentes para distribuir ransomware, cometer fraude financiero y otras actividades ciberdelincuentes tendrá tal impacto financiero y técnico. La infección de los ordenadores de las víctimas con el malware Qakbot, también conocido con varios nombres, incluidos Qbot y Pinkslipbot, se producía principalmente a través de correos electrónicos no solicitados que contenían archivos adjuntos o enlaces maliciosos.

Desde su creación en 2008, el malware Qakbot se ha utilizado en ataques de ransomware y otros delitos cibernéticos que han causado pérdidas por cientos de millones de dólares a personas y empresas en Estados Unidos y en el extranjero. En los últimos años, Qakbot se ha convertido en la botnet elegida por algunas de las bandas de ransomware más infames, incluidas Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Según se informa, los administradores de Qakbot recibieron aproximadamente 58 millones de dólares en total en rescates pagados por las víctimas.

Índice
  1. Tráfico de la botnet Qakbot redirigido hacia y a través de servidores controlados
  2. Se espera un efecto significativo a corto plazo sobre las ciberbandas
  3. Medidas de mitigación para activar

Tráfico de la botnet Qakbot redirigido hacia y a través de servidores controlados

El FBI declarado accedió a la infraestructura de Qakbot e identificó más de 700.000 computadoras en todo el mundo, incluidas más de 200.000 en los Estados Unidos, que parecen haber sido infectadas por Qakbot. En Francia, 26.000 sistemas han sido comprometidos según un presione soltar de la acusación del Tribunal Judicial de París transmitida por Cybermalveillance.gouv.fr. Seis de los 170 servidores detrás del bot también estaban ubicados en territorio francés. Para interrumpir la botnet Qakbot, el FBI redirigió el tráfico hacia y a través de servidores bajo su control que, a su vez, ordenaron a las computadoras infectadas en los Estados Unidos y otros lugares que descargaran un archivo creado por las fuerzas de seguridad. para desinstalar el malware Qakbot. Este desinstalador ayuda a liberar la computadora víctima de la botnet y evita la instalación posterior de malware a través de Qakbot. El Departamento de Justicia también anunció la incautación de más de 8,6 millones de dólares en criptomonedas de la organización cibercriminal Qakbot, una cantidad que ahora se pone a disposición de las víctimas. “El FBI ha interrumpido esta enorme cadena de suministro criminal, desmantelándola”, dijo el director del FBI, Christopher Wray. "Las víctimas van desde instituciones financieras de la costa este hasta un proveedor de infraestructura crítica del medio oeste y un fabricante de dispositivos médicos de la costa oeste".

El FBI se ha asociado con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Shadowserver, la Unidad de Delitos Digitales de Microsoft, la Alianza Nacional de Capacitación y Ciberseguridad Forense y Have I Been Pwned (HIBP) para notificar a las víctimas y tomar medidas correctivas. En Francia, la sección de lucha contra la ciberdelincuencia de la Jurisdicción Nacional de Lucha contra el Crimen Organizado (JUNALCO) de la fiscalía de París supervisó la operación en el territorio. La subdirección de lucha contra la ciberdelincuencia también trabajó en cooperación con investigadores de otros países, bajo la dirección de los fiscales de París, Los Ángeles, Frankfurt y Rotterdam, para identificar esta infraestructura.

Se espera un efecto significativo a corto plazo sobre las ciberbandas

"Los datos del malware Qakbot ahora se pueden ver en Have I Been Pwned" escribió su fundador Troy Hunt. Todos son visibles en HIBP, incluso si el incidente está marcado como "sensible". Por lo tanto, primero debe verificar que controla la dirección de correo electrónico a través del servicio de notificación o buscar todos los dominios que controla a través de la función de búsqueda de dominios. "Además, las contraseñas de malware pronto podrán verse en el servicio Pwned Passwords, ya sea en línea o mediante la API", añadió Troy Hunt.

"La reciente operación policial dirigida a Qakbot probablemente tendrá un impacto significativo a corto plazo (de uno a tres meses) en las actividades de muchos grupos cibercriminales", dijo Chris Morgan, analista senior de inteligencia de amenazas cibernéticas de ReliaQuest. “Se sabe que muchos grupos de ransomware de alto perfil fomentan el uso de Qakbot para facilitar el acceso inicial a las empresas objetivo. Esta alteración de Qakbot probablemente obligará a estos grupos a buscar otros métodos menos favorables para acceder a sus objetivos”, añadió Morgan. "Aún así, es difícil predecir en qué se convertirá Qakbot", afirmó el analista. “Otras familias de malware, incluida la botnet Emotet, han sido atacadas anteriormente por las fuerzas del orden y bloqueadas durante períodos prolongados antes de resurgir. En cuanto a los cargadores de malware, ReliaQuest recientemente observado que Qakbot y otros dos cargadores concentraron el 80% del total de incidentes relacionados con un cargador de malware. “Los otros dos cargadores más utilizados son SocGholish y RaspBerry Robin. Es muy posible que grupos criminales conocidos recurran a estos cargadores de alto rendimiento para reemplazar a Qakbot”.

Medidas de mitigación para activar

Según Troy Hunt, el consejo que se puede dar a las víctimas de incidentes relacionados con Qakbot es el mismo que ha demostrado ser exitoso en incidentes de malware anteriores, a saber: Mantenga actualizado su software de seguridad, como los antivirus con las versiones más recientes; no reutilice las mismas contraseñas para varios servicios y utilice un administrador de contraseñas para generar contraseñas seguras y únicas; habilitar la autenticación multifactor cuando sea compatible, al menos para los servicios más importantes; para los administradores con usuarios afectados, CISA ha publicado un informe que explica con más detalle cómo funciona el malware, incluyendo enlaces a las reglas de YARA para identificar más fácilmente la presencia del malware en su red.