El 29 de agosto de 2023, el FBI de EE. UU. anunció que había desmantelado la operación multinacional de ciberpiratería y ransomware Qakbot, o Qbot. Después de Hive, Emotet o Zloader, ahora QakBot ha sido afectado. Pero, ¿la botnet está destruida y el ransomware es inutilizable o simplemente está paralizado, como fue el caso de Emotet?
El malware Qakbot infectó a las víctimas a través de correos electrónicos no deseados que contenían archivos adjuntos y enlaces fraudulentos. También sirvió como plataforma para los operadores de ransomware. Una vez que la computadora de la víctima fue pirateada, pasó a formar parte de la red de bots Qakbot más grande, que secuestró otras computadoras. 700 computadoras se vieron afectadas en todo el mundo, incluidas instituciones financieras, contratistas gubernamentales y fabricantes de dispositivos médicos.
¿Qué es Qakbot?
🔎 El Informe de mitad de año 2023 de Check Point muestra que Qbot/Qakbot llevó a cabo la mayor cantidad de ataques a nivel mundial (Imagen; Check Point).
Qakbot fue operado por piratas informáticos de Europa del Este y ha estado activo desde 2008. Es el malware descubierto con más frecuencia y afectó al 2023 por ciento de las redes corporativas en todo el mundo en la primera mitad de 11. Qakbot es particularmente complicado: es un malware multipropósito que se asemeja a una navaja suiza. Permite a los ciberdelincuentes robar datos directamente (incluido el acceso a cuentas financieras, tarjetas de pago) o computadoras, al mismo tiempo que sirve como plataforma para infectar las redes de las víctimas con malware y ransomware adicionales. Qakbot, distribuido principalmente a través de correos electrónicos de phishing, es altamente adaptable y flexible, lo que permite que el malware eluda las medidas de seguridad. Utiliza tipos de archivos conocidos como OneNote, PDF, HTML, ZIP o LNK para engañar a los usuarios. Dice Sergey Shykevich, director de inteligencia contra amenazas de Check Point Research.
Esto es lo que dice Mandiant, filial de Google, sobre Qakbot
El FBI ha trabajado con socios de todo el mundo para neutralizar la infraestructura de malware Qakbot. Los ciberdelincuentes utilizaron la infraestructura para difundir ransomware. Los ciberdelincuentes siguen utilizando a menudo el ransomware para perseguir objetivos económicos. Según el informe de investigación M-Trends 2023, el 2022 por ciento de las investigaciones de Mandiant en 18 involucraron ransomware.
Sandra Joyce, vicepresidenta, Inteligencia Mandiant en Google Cloud explica: “El ransomware es un importante desafío para la seguridad nacional que debemos tomar tan en serio como las amenazas de estados nacionales como Rusia o Corea del Norte. Los fundamentos del modelo de negocio son sólidos y este problema no se resolverá pronto. Muchas de las herramientas que tenemos a nuestra disposición no tendrán un impacto duradero. Estos grupos se recuperarán y regresarán. Pero tenemos la obligación moral de suspender estas operaciones siempre que sea posible”.
Comentario de Qakbot por Arctic Wolf
La caza del pato fue un éxito: los medios informan que el FBI logró desmantelar la botnet controlada mediante el malware Qakbot en el marco de una operación policial internacional llamada "Duck Hunt" con fuerzas de Alemania, Países Bajos, Rumanía, Letonia y se convirtió el Reino Unido.
“El hecho de que la “caza de patos” en Qakbot haya tenido éxito es positivo por dos razones: por un lado, vemos que las autoridades internacionales encargadas de hacer cumplir la ley trabajan cada vez mejor juntas y, por otro lado, es otra señal de que el cibercrimen organizado les pisa los talones y no pueden hacer sus travesuras sin ser molestados.
Sin embargo, no se debe sobreestimar este importante avance. Aunque la botnet ha sido destruida por el momento, los códigos fuente del malware todavía existen, al igual que sus desarrolladores. Es de esperar que se reagrupen y reanuden su "trabajo" dentro de unas semanas o meses.
Las empresas pueden comprobar si los actores de Qakbot han robado sus credenciales. Esto funciona proporcionando su propia dirección de correo electrónico. He sido promovido o en el sitio web de la policía holandesa”. Dr. Sebastian Schmerl, director de servicios de seguridad EMEA Lobo ártico.