El Departamento de Justicia de Estados Unidos (DOJ) y el FBI colaboraron recientemente en una operación multinacional para desmantelar el notorio malware y botnet Qakbot. Si bien la operación logró interrumpir esta amenaza de larga data, han surgido preocupaciones ya que parece que Qakbot aún puede representar un peligro en forma reducida. Este artículo analiza las consecuencias de la eliminación, proporciona estrategias de mitigación y ofrece orientación para determinar infecciones pasadas.
El derribo y sus limitaciones
Durante la operación de eliminación, las fuerzas del orden obtuvieron órdenes judiciales para eliminar de forma remota el malware Qakbot de los dispositivos infectados. Se descubrió que el malware había infectado una cantidad sustancial de dispositivos: 700.000 máquinas en todo el mundo, incluidas 200.000 computadoras en los EE. UU., estaban comprometidas en el momento de la eliminación. Sin embargo, informes recientes sugieren que Qakbot todavía está activo pero en un estado disminuido.
La ausencia de arrestos durante la operación de eliminación indica que solo los servidores de comando y control (C2) se vieron afectados, dejando intacta la infraestructura de entrega de spam. Por lo tanto, los actores de amenazas detrás de Qakbot continúan operando, presentando una amenaza continua.
Mitigaciones para la protección futura
Para protegerse contra un posible resurgimiento de Qakbot o amenazas similares, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomiendan varias mitigaciones clave:
- Requerir autenticación multifactor (MFA): Implementar MFA para el acceso remoto a redes internas, particularmente en sectores de infraestructura crítica como la atención médica. MFA es muy eficaz para prevenir ciberataques automatizados.
- Realice periódicamente capacitaciones sobre seguridad para los empleados: Eduque a los empleados sobre las mejores prácticas de seguridad, incluido evitar hacer clic en enlaces sospechosos. Fomente prácticas como verificar el origen de los enlaces y escribir nombres de sitios web directamente en los navegadores.
- Actualización de software corporativo: Mantenga actualizados los sistemas operativos, aplicaciones y firmware. Utilice sistemas centralizados de gestión de parches para garantizar actualizaciones oportunas y evaluar el riesgo de cada activo de la red.
- Elimine las contraseñas débiles: Cumpla con las pautas del NIST para las políticas de contraseñas de los empleados y priorice MFA sobre la dependencia de contraseñas siempre que sea posible.
- Filtrar el tráfico de red: Bloquee las comunicaciones entrantes y salientes con direcciones IP maliciosas conocidas mediante la implementación de listas de bloqueo/permisión.
- Desarrollar un plan de recuperación: Prepare y mantenga un plan de recuperación para guiar a los equipos de seguridad en caso de una infracción.
- Siga la regla de respaldo «3-2-1»: Mantenga al menos tres copias de los datos críticos, dos almacenadas en ubicaciones separadas y una almacenada fuera del sitio.
Comprobación de infecciones pasadas
Para las personas preocupadas por infecciones pasadas de Qakbot, hay buenas noticias. El Departamento de Justicia ha recuperado más de 6,5 millones de contraseñas y credenciales robadas de los operadores de Qakbot. Para comprobar si su información de inicio de sesión ha sido expuesta, puede utilizar los siguientes recursos:
- ¿Me han engañado? Este sitio ampliamente conocido le permite verificar si su dirección de correo electrónico se ha visto comprometida en violaciones de datos. Ahora incluye el conjunto de datos de Qakbot en su base de datos.
- Revisa tu truco: Creado por la Policía Nacional Holandesa utilizando los datos incautados de Qakbot, este sitio le permite ingresar su dirección de correo electrónico y proporciona una notificación automática por correo electrónico si su dirección se encuentra en el conjunto de datos.
- Lista de las peores contraseñas del mundo: Dado que Qakbot utiliza una lista de contraseñas comunes para ataques de fuerza bruta, puede consultar esta lista para asegurarse de que su contraseña no esté entre las peores.
Conclusión
Si bien la eliminación de Qakbot fue un logro importante, el panorama de amenazas sigue siendo complejo. Existe la posibilidad de que Qakbot resurgiera, dada la adaptabilidad y los recursos de sus operadores. Mantenerse alerta e implementar medidas de seguridad es crucial para prevenir futuras infecciones. BlackBerry PUNTO FINAL Se recomienda esta solución para proteger contra la ejecución de Qakbot, y reglas específicas dentro de CylanceOPTICS pueden mejorar la protección contra amenazas como Qakbot.
Para obtener información adicional y recursos sobre mitigaciones, visite el Página de recursos de Qakbot del DOJ.