{"id":983571,"date":"2023-10-05T16:01:08","date_gmt":"2023-10-05T16:01:08","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-actores-de-amenazas-qakbot-siguen-en-accion-utilizando-ransom-knight-y-remcos-rat-en-los-ultimos-ataques\/"},"modified":"2023-10-05T16:01:12","modified_gmt":"2023-10-05T16:01:12","slug":"los-actores-de-amenazas-qakbot-siguen-en-accion-utilizando-ransom-knight-y-remcos-rat-en-los-ultimos-ataques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-actores-de-amenazas-qakbot-siguen-en-accion-utilizando-ransom-knight-y-remcos-rat-en-los-ultimos-ataques\/","title":{"rendered":"Los actores de amenazas QakBot siguen en acci\u00f3n, utilizando Ransom Knight y Remcos RAT en los \u00faltimos ataques"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>05 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Ransomware\/malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

A pesar de la interrupci\u00f3n de su infraestructura, los actores de amenazas detr\u00e1s del malware QakBot han estado vinculados a una campa\u00f1a de phishing en curso desde principios de agosto de 2023 que condujo a la entrega del ransomware Ransom Knight (tambi\u00e9n conocido como Cyclops) y Remcos RAT.<\/p>\n

Esto indica que “la operaci\u00f3n policial puede no haber afectado la infraestructura de entrega de spam de los operadores de Qakbot, sino s\u00f3lo sus servidores de comando y control (C2)”, dijo Guilherme Venere, investigador de Cisco Talos. dicho<\/a> en un nuevo informe publicado hoy.<\/p>\n

La empresa de ciberseguridad ha atribuido la actividad con moderada confianza a los afiliados de QakBot. Hasta la fecha, no hay evidencia de que los actores de amenazas hayan reanudado la distribuci\u00f3n del cargador de malware despu\u00e9s de la destrucci\u00f3n de la infraestructura.<\/p>\n

\"La<\/a><\/center><\/div>\n

QakBot, tambi\u00e9n llamado QBot y Pinkslipbot, se origin\u00f3 como un troyano bancario basado en Windows en 2007 y posteriormente desarroll\u00f3 capacidades para entregar cargas \u00fatiles adicionales, incluido ransomware. A finales de agosto de 2023, la infame operaci\u00f3n de malware recibi\u00f3 un duro golpe como parte de una operaci\u00f3n denominada Duck Hunt.<\/p>\n

\"Ransom<\/a><\/div>\n

La \u00faltima actividad, que comenz\u00f3 justo antes de la eliminaci\u00f3n, comienza con un archivo LNK malicioso probablemente distribuido a trav\u00e9s de correos electr\u00f3nicos de phishing que, cuando se lanza, detona la infecci\u00f3n y finalmente implementa el ransomware Ransom Knight, un cambio de marca reciente del ransomware Cyclops-as-a-. esquema de servicio (RaaS).<\/p>\n

Tambi\u00e9n se ha observado que los archivos ZIP que contienen los archivos LNK incorporan archivos complementarios de Excel (.XLL) para propagar Remcos RAT, lo que facilita el acceso persistente por puerta trasera a los puntos finales.<\/p>\n

\"La<\/a><\/center><\/div>\n

Algunos de los nombres de archivos utilizados en la campa\u00f1a est\u00e1n escritos en italiano, lo que sugiere que los atacantes se dirigen a usuarios de esa regi\u00f3n.<\/p>\n

“Aunque no hemos visto a los actores de amenazas distribuyendo Qakbot despu\u00e9s de la destrucci\u00f3n de la infraestructura, evaluamos que el malware probablemente seguir\u00e1 representando una amenaza significativa en el futuro”, dijo Venere.<\/p>\n

“Dado que los operadores permanecen activos, pueden optar por reconstruir la infraestructura de Qakbot para reanudar completamente su actividad previa a la eliminaci\u00f3n”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n