Home Gobierno El FBI desmantela el malware QakBot, libera 700.000 computadoras y confisca 8,6...

El FBI desmantela el malware QakBot, libera 700.000 computadoras y confisca 8,6 millones de dólares

Un esfuerzo coordinado de aplicación de la ley con nombre en código Operación Duck Hunt ha derribado a QakBot, una notoria familia de malware de Windows que se estima que ha comprometido más de 700.000 computadoras en todo el mundo y ha facilitado el fraude financiero y el ransomware.

Con ese fin, el Departamento de Justicia de Estados Unidos (DoJ) dijo que el malware está “siendo eliminado de las computadoras de las víctimas, evitando que cause más daño”, y agregó que se incautó de más de 8,6 millones de dólares en criptomonedas en ganancias ilícitas.

El ejercicio transfronterizo contó con la participación de Francia, Alemania, Letonia, Rumania, los Países Bajos, el Reino Unido y los Estados Unidos, junto con la asistencia técnica de la empresa de ciberseguridad Zscaler.

El desmantelamiento ha sido aclamado como “la mayor interrupción financiera y técnica liderada por Estados Unidos de una infraestructura de botnet aprovechada por ciberdelincuentes”. No se anunciaron arrestos.

QakBot, también conocido como QBot y Pinkslipbot, comenzó su vida como un troyano bancario en 2007 antes de transformarse en una navaja suiza de uso general que actúa como centro de distribución de códigos maliciosos en máquinas infectadas, incluido ransomware, sin que las víctimas lo supieran.

Algunas de las principales familias de ransomware propagadas a través de QakBot incluyen Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Se dice que los administradores de QakBot recibieron honorarios correspondientes a aproximadamente 58 millones de dólares en rescates pagados por las víctimas entre octubre de 2021 y abril de 2023.

El esfuerzo conjunto, según documentos judiciales, permitió el acceso a la infraestructura de QakBot, lo que hizo posible redirigir el tráfico de la botnet hacia y a través de servidores controlados por la Oficina Federal de Investigaciones (FBI) de EE.UU. con el objetivo final de neutralizar el “gran alcance” cadena de suministro criminal”.

Específicamente, los servidores ordenaron a los puntos finales comprometidos que descargaran un archivo de desinstalación que está diseñado para desconectar las máquinas de la botnet QakBot, evitando efectivamente que se entreguen cargas útiles adicionales.

Secureworks Counter Threat Unit (CTU) dijo que detectó la botnet que distribuía shellcode a dispositivos infectados el 25 de agosto de 2023, que “desempaqueta un ejecutable DLL (biblioteca de enlaces dinámicos) personalizado que contiene código que puede finalizar limpiamente el proceso QakBot en ejecución en el host ” mediante un comando QPCMD_BOT_SHUTDOWN.

QakBot ha demostrado un mayor nivel de complejidad con el tiempo, cambiando rápidamente sus tácticas en respuesta a nuevas barreras de seguridad. Por ejemplo, después de que Microsoft deshabilitó las macros de forma predeterminada en todas las aplicaciones de Office, comenzó a abusar de los archivos de OneNote como vector de infección a principios de este año.

La sofisticación y adaptabilidad también es evidente en la capacidad de los operadores para convertir en armas una amplia gama de formatos de archivos (por ejemplo, PDF, HTML y ZIP) en sus cadenas de ataque. La mayoría de los servidores de comando y control (C2) de QakBot se concentran en EE. UU., Reino Unido, India, Canadá y Francia (FR). Su infraestructura backend se encuentra en Rusia.

QakBot, al igual que Emotet y IcedID, emplea un sistema de servidores de tres niveles para controlar y comunicarse con el malware instalado en las computadoras infectadas. El objetivo principal de los servidores de Nivel 1 y 2 es reenviar comunicaciones que contienen datos cifrados entre las computadoras infectadas con QakBot y el servidor de Nivel 3 que controla la botnet.