Como mostram as novas descobertas de inteligência de ameaças do Cisco Talos, o ator da ameaça (afiliados) por trás do malware Qakbot permanece ativo e tem executado uma campanha novamente desde o início de agosto de 2023.
Na campanha, eles espalharam o ransomware “Ransom Knight” e o backdoor “Remcos” por meio de e-mails de phishing. O que há de especial: no final de agosto, a infraestrutura do Qakbot foi confiscada pelo FBI. Mesmo assim, a campanha, lançada no início de agosto, continua. Isto sugere que a acção policial pode não ter impactado a infra-estrutura de envio de spam dos operadores Qakbot, mas apenas os seus servidores de comando e controlo (C2).
Qakbot usa outros canais de distribuição
Cisco Talos associa a nova campanha a parceiros Qakbot porque os metadados nos arquivos LNK usados nesta campanha correspondem aos metadados das máquinas usadas nas campanhas Qakbot “AA” e “BB” anteriores. Embora os pesquisadores ainda não tenham observado os próprios agentes de ameaças espalhando o Qakbot após o desligamento da infraestrutura, o Cisco Talos acredita que o malware continuará a representar uma ameaça significativa no futuro. O motivo: os desenvolvedores não foram presos e, portanto, puderam decidir reconstruir a infraestrutura do Qakbot.
“O atual nível de ameaça permanece alto mesmo depois que o FBI fechou a infraestrutura do Qakbot. Ou, para combinar com um antigo ditado de futebol: 'Depois do jogo é antes do jogo'”, diz Thorsten Rosendahl, da Cisco Talos. “A análise mostra que mesmo um ataque bem-sucedido contra os cibercriminosos não cria uma segurança sustentável. A situação de ameaça continua elevada, inclusive na Alemanha.”
Mais em Cisco.com
Sobre a Cisco A Cisco é a empresa de tecnologia líder mundial que torna a Internet possível. A Cisco está abrindo novas possibilidades para aplicativos, segurança de dados, transformação de infraestrutura e capacitação de equipes para um futuro global e inclusivo.