{"id":927475,"date":"2023-08-30T06:40:34","date_gmt":"2023-08-30T06:40:34","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-fbi-desmantela-el-malware-qakbot-libera-700-000-computadoras-y-confisca-86-millones-de-dolares\/"},"modified":"2023-08-30T06:40:38","modified_gmt":"2023-08-30T06:40:38","slug":"el-fbi-desmantela-el-malware-qakbot-libera-700-000-computadoras-y-confisca-86-millones-de-dolares","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-fbi-desmantela-el-malware-qakbot-libera-700-000-computadoras-y-confisca-86-millones-de-dolares\/","title":{"rendered":"El FBI desmantela el malware QakBot, libera 700.000 computadoras y confisca 8,6 millones de d\u00f3lares"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Un esfuerzo coordinado de aplicaci\u00f3n de la ley con nombre en c\u00f3digo Operaci\u00f3n caza del pato<\/strong> ha derribado a QakBot, una notoria familia de malware de Windows que se estima que ha comprometido m\u00e1s de 700.000 computadoras en todo el mundo y ha facilitado el fraude financiero y el ransomware.<\/p>\n

Con ese fin, el Departamento de Justicia de EE.UU. (DoJ) dicho<\/a> el malware est\u00e1 “siendo eliminado de las computadoras de las v\u00edctimas, evitando que cause m\u00e1s da\u00f1o”, y agreg\u00f3 que se incaut\u00f3 de m\u00e1s de 8,6 millones de d\u00f3lares en criptomonedas en ganancias il\u00edcitas.<\/p>\n

El ejercicio transfronterizo cont\u00f3 con la participaci\u00f3n de Francia, Alemania, Letonia, Rumania, los Pa\u00edses Bajos, el Reino Unido y los Estados Unidos, junto con la asistencia t\u00e9cnica de la empresa de ciberseguridad Zscaler.<\/p>\n

El desmantelamiento ha sido aclamado como “la mayor interrupci\u00f3n financiera y t\u00e9cnica liderada por Estados Unidos de una infraestructura de botnet aprovechada por ciberdelincuentes”. No se anunciaron arrestos.<\/p>\n

QakBot, tambi\u00e9n conocido como QBot y Pinkslipbot, comenz\u00f3 su vida como un troyano bancario en 2007 antes de transformarse en una navaja suiza de uso general que act\u00faa como centro de distribuci\u00f3n de c\u00f3digos maliciosos en m\u00e1quinas infectadas, incluido ransomware, sin que las v\u00edctimas lo supieran.<\/p>\n

\"La<\/a><\/center><\/section>\n

Algunos de los principales familias de ransomware<\/a> propagados a trav\u00e9s de QakBot incluyen Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Se dice que los administradores de QakBot recibieron honorarios correspondientes a aproximadamente 58 millones de d\u00f3lares en rescates pagados por las v\u00edctimas entre octubre de 2021 y abril de 2023.<\/p>\n

“QakBot fue un facilitador clave dentro del ecosistema del cibercrimen, facilitando ataques de ransomware y otras amenazas graves”, dijo Will Lyne, jefe de ciberinteligencia de la Agencia Nacional contra el Crimen (NCA) del Reino Unido. dicho<\/a> en una oracion.<\/p>\n

La contraofensiva contra QakBot sigue a una ca\u00edda similar de Emotet en octubre de 2020, que desde entonces ha resurgido luego de una interrupci\u00f3n importante en su infraestructura de backend.<\/p>\n

Este malware modular, que normalmente se distribuye a trav\u00e9s de correos electr\u00f3nicos de phishing, tambi\u00e9n viene equipado con capacidades de ejecuci\u00f3n de comandos y recopilaci\u00f3n de informaci\u00f3n. Ha visto actualizaciones constantes durante su vida, y se sabe que los actores (con nombre en c\u00f3digo Gold Lagoon o Mallard Spider) toman descansos prolongados cada verano antes de reanudar sus campa\u00f1as de spam.<\/p>\n

“Las computadoras v\u00edctimas infectadas con el malware QakBot son parte de una botnet (una red de computadoras comprometidas), lo que significa que los perpetradores pueden controlar remotamente todas las computadoras infectadas de manera coordinada”, dijo el Departamento de Justicia.<\/p>\n

El esfuerzo conjunto, seg\u00fan documentos judiciales, permiti\u00f3 el acceso a la infraestructura de QakBot, haciendo posible as\u00ed redirigir el tr\u00e1fico de la botnet hacia y a trav\u00e9s de servidores controlados por la Oficina Federal de Investigaciones (FBI) de EE.UU. con el objetivo final de neutralizar el “gran alcance” cadena de suministro criminal.”<\/p>\n

Espec\u00edficamente, los servidores ordenaron a los puntos finales comprometidos que descargaran un archivo de desinstalaci\u00f3n<\/a> que est\u00e1 dise\u00f1ado para desconectar las m\u00e1quinas de la botnet QakBot, evitando efectivamente que se entreguen cargas \u00fatiles adicionales.<\/p>\n

Unidad de lucha contra amenazas (CTU) de Secureworks dicho<\/a> detect\u00f3 la botnet que distribuye shellcode a dispositivos infectados el 25 de agosto de 2023, que “desempaqueta un ejecutable DLL (biblioteca de enlaces din\u00e1micos) personalizado que contiene c\u00f3digo que puede finalizar limpiamente el proceso QakBot en ejecuci\u00f3n en el host” mediante un comando QPCMD_BOT_SHUTDOWN.<\/p>\n

“Las victimas [in the U.S.] iban desde instituciones financieras en la costa este hasta un contratista gubernamental de infraestructura cr\u00edtica en el medio oeste y un fabricante de dispositivos m\u00e9dicos en la costa oeste”, dijo el director del FBI, Christopher Wray. dicho<\/a>.<\/p>\n

\"La<\/a><\/center><\/section>\n

QakBot ha demostrado un mayor nivel de complejidad con el tiempo, cambiando r\u00e1pidamente sus t\u00e1cticas en respuesta a nuevas barreras de seguridad. Por ejemplo, despu\u00e9s de que Microsoft deshabilit\u00f3 las macros de forma predeterminada en todas las aplicaciones de Office, comenz\u00f3 a abusar de los archivos de OneNote como vector de infecci\u00f3n<\/a> a principios de este a\u00f1o.<\/p>\n

La sofisticaci\u00f3n y adaptabilidad tambi\u00e9n es evidente en la capacidad de los operadores para convertir en armas una amplia gama de formatos de archivos (por ejemplo, PDF, HTML y ZIP) en sus cadenas de ataque. La mayor\u00eda de los servidores de comando y control (C2) de QakBot se concentran en EE. UU., Reino Unido, India, Canad\u00e1 y Francia (FR). Su infraestructura backend se encuentra en Rusia.<\/p>\n

QakBot, al igual que Emotet y IcedID, emplea un sistema de servidores de tres niveles para controlar y comunicarse con el malware instalado en las computadoras infectadas. El objetivo principal de los servidores de Nivel 1 y 2 es reenviar comunicaciones que contienen datos cifrados entre las computadoras infectadas con QakBot y el servidor de Nivel 3 que controla la botnet.<\/p>\n

“QakBot es un malware troyano bancario muy sofisticado que se dirige estrat\u00e9gicamente a empresas de diferentes pa\u00edses”, afirman los investigadores de Zscaler. anotado<\/a> en un an\u00e1lisis exhaustivo publicado a finales de julio de 2023.<\/p>\n

“Esta elusiva amenaza emplea m\u00faltiples formatos de archivos y m\u00e9todos de ofuscaci\u00f3n dentro de su cadena de ataque, lo que le permite evadir la detecci\u00f3n de los motores antivirus convencionales. A trav\u00e9s de su experimentaci\u00f3n con diversas cadenas de ataque, se hace evidente que el actor de amenazas detr\u00e1s de QakBot est\u00e1 refinando continuamente sus estrategias”.<\/p>\n

QakBot tambi\u00e9n ha sido una de las familias de malware m\u00e1s activas en el segundo trimestre de 2023, seg\u00fan Seguridad de HP Wolf<\/a>aprovechando hasta 18 cadenas de ataque \u00fanicas y registrando 56 campa\u00f1as durante el per\u00edodo, lo que subraya la inclinaci\u00f3n del grupo de crimen electr\u00f3nico por “permutar r\u00e1pidamente su oficio para explotar las brechas en las defensas de la red”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n