Derribando el gigantesco botnet Qakbot en una operación global liderada por el FBI

    Índice de Contenido
    1. Qakbot recauda casi millones en rescates en solo 18 meses
    2. El FBI inyecta computadoras con un archivo de desinstalación para desalojar a Qakbot
    3. Qakbot está vinculado al grupo de ciberdelincuentes Batbug
    4. Auge de actividad desde enero de 2023 vinculado a OneNote
    5. Qakbot: ¿Desaparecido pero no por mucho tiempo?

    Qakbot recauda casi $58 millones en rescates en solo 18 meses

    Derribando el gigantesco botnet Qakbot en una operación global liderada por el FBI - Seguridad | Imagen 1 Newsmatic

    A lo largo de su campaña de más de 15 años, Qakbot (también conocido como Qbot y Pinkslipbot) ha llevado a cabo alrededor de 40 ataques de ransomware en todo el mundo, dirigidos a empresas, gobiernos y operaciones de atención médica, afectando a unas 700,000 computadoras. Según el Departamento de Justicia, Qakbot, al igual que la mayoría de los ataques de ransomware, afectaba a las víctimas a través de correos electrónicos no deseados con enlaces maliciosos. En solo el último año y medio, Qakbot ha causado casi $58 millones en daños. Como parte de la acción contra Qakbot, el Departamento de Justicia confiscó aproximadamente $8.6 millones en criptomonedas obtenidas ilícitamente (aquí está la orden de confiscación del departamento).

    Según el Departamento de Justicia, esta acción representa la mayor interrupción financiera y técnica liderada por Estados Unidos de una infraestructura de botnet utilizada por ciberdelincuentes para llevar a cabo ransomware, fraude financiero y otras actividades delictivas en línea.

    "Los delincuentes cibernéticos que confían en malware como Qakbot para robar datos privados de víctimas inocentes han sido recordados hoy de que no operan fuera de los límites de la ley", dijo el Fiscal General Merrick B. Garland en un comunicado.

    El director del FBI, Christopher Wray, dijo en el sitio web del FBI que las víctimas iban desde instituciones financieras en la costa este hasta un contratista gubernamental de infraestructura crítica en el medio oeste y un fabricante de dispositivos médicos en la costa oeste.

    El FBI inyecta computadoras con un archivo de desinstalación para desalojar a Qakbot

    El FBI informó que, como parte de la operación, obtuvo acceso a la infraestructura de Qakbot e identificó cientos de miles de computadoras infectadas en todo el mundo, incluyendo más de 200,000 en Estados Unidos. Como parte de la acción, la Oficina redirigió el tráfico de Qakbot a sus propios servidores, los cuales instruían a las computadoras infectadas a descargar un archivo de desinstalación. El desinstalador fue capaz de liberar a las computadoras infectadas de la botnet y detener la instalación de cualquier otro malware en las computadoras afectadas.

    Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

    Richard Suls, consultor de seguridad y gestión de riesgos en la firma de ciberseguridad WithSecure, dijo que el enfoque tomado por el FBI, que consistía en tomar el control de los servidores de Qakbot y utilizar software creado por las autoridades para eliminar a Qakbot de las computadoras infectadas, fue un enfoque novedoso.

    "Esto no se había documentado anteriormente y es un gran paso en la dirección correcta", dijo. "Normalmente, cuando una botnet es desmantelada, los servidores de comando y control son desconectados y redirigidos a 'los buenos' para su análisis, recopilación de inteligencia y para ayudar a las víctimas". Señaló que un buen ejemplo de este enfoque fue el desmantelamiento del gusano Conficker.

    El Departamento de Justicia dijo que recibió asistencia técnica de Zscaler y que el FBI colaboró con la Agencia de Ciberseguridad y de Infraestructura, Shadowserver, la Unidad de Delitos Digitales de Microsoft, la Alianza Nacional de Ciber-Forenses y Capacitación, y Have I Been Pwned para ayudar en la notificación y corrección de las víctimas.

    Qakbot está vinculado al grupo de ciberdelincuentes Batbug

    La botnet de Qakbot es operada por un grupo de ciberdelincuentes que Symantec llama Batbug, una empresa de software que controla una red de distribución de malware lucrativa relacionada con varios grupos de ransomware importantes. Según el Departamento de Justicia, estos grupos de ransomware incluyen Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta.

    "Es probable que este operativo interrumpa las operaciones de Batbug y es posible que el grupo tenga dificultades para reconstruir su infraestructura después de esto", dijo el equipo de cazadores de amenazas de Symantec en un blog. Los autores señalaron que Qakbot inicialmente surgió como un troyano dirigido a instituciones financieras y se hizo conocido por su funcionalidad y adaptabilidad.

    "Por ejemplo, una vez que infectaba una máquina en una organización, era capaz de propagarse lateralmente a través de redes utilizando una funcionalidad similar a la de un gusano, a través de la fuerza bruta en el uso compartido de redes y las cuentas de usuario de Active Directory, o mediante la explotación de los mensajes del servidor (SMB)". escribió el equipo de Symantec.

    Cómo proteger tu computadora de los virus: métodos y consejos

    Auge de actividad desde enero de 2023 vinculado a OneNote

    Los investigadores de Symantec notaron un aumento en la actividad de Qakbot desde principios de 2023 hasta junio, un período durante el cual la botnet comenzó a utilizar archivos adjuntos en Microsoft OneNote para introducir Qakbot en las máquinas infectadas. OneNote, señalaron los autores de Symantec, es una instalación predeterminada en Microsoft Office/365. "Incluso si un usuario de Windows no usa habitualmente la aplicación, todavía está disponible para abrir el formato de archivo", escribieron ellos.

    Los autores del blog de Symantec también dijeron que los correos electrónicos infectados con Qakbot contenían una URL incrustada que llevaba a un archivo ZIP que contenía el archivo malicioso de OneNote. Cuando las víctimas hacían clic en el archivo, ejecutaban inadvertidamente un archivo de aplicación HTML, lo que provocaba la descarga en la computadora de la víctima de un DLL de Qakbot como un archivo .png. Los investigadores de Symantec agregaron que esta cadena de ataques desapareció y los atacantes pasaron a utilizar documentos PDF que llevaban a URL con archivos ZIP maliciosos que contenían descargadores de JavaScript.

    Paul Brucciani, asesor de WithSecure, dijo que la acción parece reflejar la Estrategia Nacional de Ciberseguridad de Estados Unidos del FBI, anunciada en marzo de 2023, específicamente en relación con el intercambio de información sobre amenazas entre los gobiernos y el sector privado, el uso de capacidades militares, cibernéticas, diplomáticas y otras contra actores de amenazas, y la disuasión de ataques haciendo que sea más costoso atacar sistemas que defenderlos.

    Qakbot: ¿Desaparecido pero no por mucho tiempo?

    ¿Volverá Qakbot después de hacer algunos ajustes para evadir nuevas defensas? Suls de WithSecure dijo que podría suceder. "Los creadores de estas botnets suelen ser altamente hábiles (a veces son estados-nación/APTs) y, como resultado, hemos visto botnets volver de la tumba, a menudo con modificaciones", dijo, señalando el caso de Kelihos, que fue sinkholed en septiembre de 2011 y regresó en enero de 2012 en una nueva versión.

    "Una forma en que hemos visto que las botnets se reconfiguran y resurgen es cuando su código fuente se filtra", dijo Suls. "Por ejemplo, el malware Zbot, cuyo código fuente fue difundido en internet, permitió a múltiples actores ver, actualizar y utilizar el código base para sus propias botnets. No tengo ninguna duda de que el código de las botnets está disponible para su compra en los rincones más oscuros de internet".

    Jess Parnell, vicepresidenta de operaciones de seguridad en la firma de inteligencia de amenazas Centripetal, dijo que el éxito de Qakbot demuestra que el eslabón más débil es el menos sofisticado.

    ¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

    "Algunos podrían pensar que un simple correo electrónico no deseado o mensaje de texto es inofensivo, pero como vemos constantemente, las organizaciones de todo el mundo se ven afectadas diariamente por importantes ciberataques que a menudo se disfrazan como otra cosa", dijo. "Al mantenerse informadas, ser proactivas y colaborar, las organizaciones pueden reducir significativamente su riesgo de convertirse en víctimas de ciberataques".

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Derribando el gigantesco botnet Qakbot en una operación global liderada por el FBI , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.