Come mostrano i nuovi risultati dell’intelligence sulle minacce di Cisco Talos, l’autore della minaccia (affiliati) dietro il malware Qakbot rimane attivo e sta conducendo nuovamente una campagna dall’inizio di agosto 2023.
Nell’ambito della campagna hanno diffuso il ransomware “Ransom Knight” e la backdoor “Remcos” tramite e-mail di phishing. La particolarità: alla fine di agosto l'infrastruttura Qakbot è stata confiscata dall'FBI. Ciononostante la campagna lanciata all’inizio di agosto continua. Ciò suggerisce che l'azione delle forze dell'ordine potrebbe non aver avuto alcun impatto sull'infrastruttura di invio dello spam degli operatori Qakbot, ma solo sui loro server di comando e controllo (C2).
Qakbot utilizza altri canali di distribuzione
Cisco Talos associa la nuova campagna ai partner Qakbot perché i metadati nei file LNK utilizzati in questa campagna corrispondono ai metadati delle macchine utilizzate nelle precedenti campagne Qakbot “AA” e “BB”. Sebbene i ricercatori non abbiano ancora osservato gli autori delle minacce diffondere Qakbot dopo la chiusura dell’infrastruttura, Cisco Talos ritiene che il malware continuerà a rappresentare una minaccia significativa in futuro. Il motivo: gli sviluppatori non sono stati arrestati e hanno quindi potuto decidere di ricostruire l'infrastruttura Qakbot.
“L’attuale livello di minaccia rimane elevato anche dopo che l’FBI ha chiuso l’infrastruttura Qakbot. O per dirla con un vecchio detto del calcio: 'Dopo la partita è prima della partita'”, dice Thorsten Rosendahl di Cisco Talos. “L’analisi mostra che anche un attacco riuscito contro i criminali informatici non crea una sicurezza sostenibile. La situazione di pericolo rimane elevata, anche in Germania”.
Altro su Cisco.com
A proposito di Cisco Cisco è l'azienda tecnologica leader a livello mondiale che rende possibile Internet. Cisco sta aprendo nuove possibilità per le applicazioni, la sicurezza dei dati, la trasformazione dell'infrastruttura e il potenziamento dei team per un futuro globale e inclusivo.