Un esfuerzo coordinado de aplicación de la ley con nombre en código Operación caza del pato ha derribado a QakBot, una notoria familia de malware de Windows que se estima que ha comprometido más de 700.000 computadoras en todo el mundo y ha facilitado el fraude financiero y el ransomware.
Con ese fin, el Departamento de Justicia de EE.UU. (DoJ) dicho el malware está «siendo eliminado de las computadoras de las víctimas, evitando que cause más daño», y agregó que se incautó de más de 8,6 millones de dólares en criptomonedas en ganancias ilícitas.
El ejercicio transfronterizo contó con la participación de Francia, Alemania, Letonia, Rumania, los Países Bajos, el Reino Unido y los Estados Unidos, junto con la asistencia técnica de la empresa de ciberseguridad Zscaler.
El desmantelamiento ha sido aclamado como «la mayor interrupción financiera y técnica liderada por Estados Unidos de una infraestructura de botnet aprovechada por ciberdelincuentes». No se anunciaron arrestos.
QakBot, también conocido como QBot y Pinkslipbot, comenzó su vida como un troyano bancario en 2007 antes de transformarse en una navaja suiza de uso general que actúa como centro de distribución de códigos maliciosos en máquinas infectadas, incluido ransomware, sin que las víctimas lo supieran.
Algunos de los principales familias de ransomware propagados a través de QakBot incluyen Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Se dice que los administradores de QakBot recibieron honorarios correspondientes a aproximadamente 58 millones de dólares en rescates pagados por las víctimas entre octubre de 2021 y abril de 2023.
«QakBot fue un facilitador clave dentro del ecosistema del cibercrimen, facilitando ataques de ransomware y otras amenazas graves», dijo Will Lyne, jefe de ciberinteligencia de la Agencia Nacional contra el Crimen (NCA) del Reino Unido. dicho en una oracion.
La contraofensiva contra QakBot sigue a una caída similar de Emotet en octubre de 2020, que desde entonces ha resurgido luego de una interrupción importante en su infraestructura de backend.
Este malware modular, que normalmente se distribuye a través de correos electrónicos de phishing, también viene equipado con capacidades de ejecución de comandos y recopilación de información. Ha visto actualizaciones constantes durante su vida, y se sabe que los actores (con nombre en código Gold Lagoon o Mallard Spider) toman descansos prolongados cada verano antes de reanudar sus campañas de spam.
«Las computadoras víctimas infectadas con el malware QakBot son parte de una botnet (una red de computadoras comprometidas), lo que significa que los perpetradores pueden controlar remotamente todas las computadoras infectadas de manera coordinada», dijo el Departamento de Justicia.
El esfuerzo conjunto, según documentos judiciales, permitió el acceso a la infraestructura de QakBot, haciendo posible así redirigir el tráfico de la botnet hacia y a través de servidores controlados por la Oficina Federal de Investigaciones (FBI) de EE.UU. con el objetivo final de neutralizar el «gran alcance» cadena de suministro criminal.»
Específicamente, los servidores ordenaron a los puntos finales comprometidos que descargaran un archivo de desinstalación que está diseñado para desconectar las máquinas de la botnet QakBot, evitando efectivamente que se entreguen cargas útiles adicionales.
Unidad de lucha contra amenazas (CTU) de Secureworks dicho detectó la botnet que distribuye shellcode a dispositivos infectados el 25 de agosto de 2023, que «desempaqueta un ejecutable DLL (biblioteca de enlaces dinámicos) personalizado que contiene código que puede finalizar limpiamente el proceso QakBot en ejecución en el host» mediante un comando QPCMD_BOT_SHUTDOWN.
«Las victimas [in the U.S.] iban desde instituciones financieras en la costa este hasta un contratista gubernamental de infraestructura crítica en el medio oeste y un fabricante de dispositivos médicos en la costa oeste», dijo el director del FBI, Christopher Wray. dicho.
QakBot ha demostrado un mayor nivel de complejidad con el tiempo, cambiando rápidamente sus tácticas en respuesta a nuevas barreras de seguridad. Por ejemplo, después de que Microsoft deshabilitó las macros de forma predeterminada en todas las aplicaciones de Office, comenzó a abusar de los archivos de OneNote como vector de infección a principios de este año.
La sofisticación y adaptabilidad también es evidente en la capacidad de los operadores para convertir en armas una amplia gama de formatos de archivos (por ejemplo, PDF, HTML y ZIP) en sus cadenas de ataque. La mayoría de los servidores de comando y control (C2) de QakBot se concentran en EE. UU., Reino Unido, India, Canadá y Francia (FR). Su infraestructura backend se encuentra en Rusia.
QakBot, al igual que Emotet y IcedID, emplea un sistema de servidores de tres niveles para controlar y comunicarse con el malware instalado en las computadoras infectadas. El objetivo principal de los servidores de Nivel 1 y 2 es reenviar comunicaciones que contienen datos cifrados entre las computadoras infectadas con QakBot y el servidor de Nivel 3 que controla la botnet.
«QakBot es un malware troyano bancario muy sofisticado que se dirige estratégicamente a empresas de diferentes países», afirman los investigadores de Zscaler. anotado en un análisis exhaustivo publicado a finales de julio de 2023.
«Esta elusiva amenaza emplea múltiples formatos de archivos y métodos de ofuscación dentro de su cadena de ataque, lo que le permite evadir la detección de los motores antivirus convencionales. A través de su experimentación con diversas cadenas de ataque, se hace evidente que el actor de amenazas detrás de QakBot está refinando continuamente sus estrategias».
QakBot también ha sido una de las familias de malware más activas en el segundo trimestre de 2023, según Seguridad de HP Wolfaprovechando hasta 18 cadenas de ataque únicas y registrando 56 campañas durante el período, lo que subraya la inclinación del grupo de crimen electrónico por «permutar rápidamente su oficio para explotar las brechas en las defensas de la red».