La botnet Qakbot es desmantelada por una acción internacional

La botnet Qakbot es desmantelada por una acción internacional- 2024

Una operación en la que participaron fuerzas policiales y judiciales internacionales condujo al desmantelamiento, el 26 de agosto de 2023, de la infraestructura de la red maliciosa Qakbot. Más de 700.000 máquinas en todo el mundo, incluidas 26.000 en Francia, resultaron infectadas y se incautaron 8,6 millones de dólares en criptomonedas.

La operación multinacional de derribo, revelada por el FBI y el Departamento de Justicia de Estados Unidos para desmantelar la botnet y el malware conocido como Qakbot, implicó acciones en Estados Unidos, Francia, Alemania, Países Bajos, Reino Unido, Rumanía y Letonia. Esta es la primera vez que una acción liderada por Estados Unidos contra la infraestructura de botnets utilizada por los ciberdelincuentes para distribuir ransomware, cometer fraude financiero y otras actividades ciberdelincuentes tendrá un impacto financiero y técnico tan grande. La infección de los ordenadores de las víctimas con el malware Qakbot (también conocido con varios nombres, incluidos Qbot y Pinkslipbot) se produjo principalmente a través de correos electrónicos no solicitados que contenían archivos adjuntos o enlaces maliciosos.

Te invitamos a leer...Procesamiento algorítmico por drones, la CNIL permanece en alertaProcesamiento algorítmico por drones, la CNIL permanece en alerta

Desde su creación en 2008, el malware Qakbot se ha utilizado en ataques de ransomware y otros delitos cibernéticos que han causado pérdidas por cientos de millones de dólares a personas y empresas en Estados Unidos y en el extranjero. En los últimos años, Qakbot se ha convertido en la botnet elegida por algunas de las bandas de ransomware más famosas, incluidas Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Según se informa, los administradores de Qakbot recibieron aproximadamente 58 millones de dólares en total en rescates pagados por las víctimas.

Tráfico de la botnet Qakbot redirigido hacia y a través de servidores controlados

El FBI dijo que accedió a la infraestructura de Qakbot e identificó más de 700.000 computadoras en todo el mundo, incluidas más de 200.000 en los Estados Unidos, que parecen haber sido infectadas por Qakbot. En Francia, 26.000 sistemas se vieron comprometidos, según un comunicado de prensa del Tribunal Judicial de París publicado por Cybermalveillance.gouv.fr. Seis de los 170 servidores detrás del bot también estaban ubicados en territorio francés. Para detener la botnet Qakbot, el FBI redirigió el tráfico hacia y a través de servidores bajo su control, que a su vez ordenaron a las computadoras infectadas en los Estados Unidos y otros lugares que descargaran un archivo creado por las fuerzas del FBI para desinstalar el malware Qakbot. Este desinstalador ayuda a liberar la computadora víctima de la botnet y evita la instalación posterior de software malicioso a través de Qakbot. El Departamento de Justicia también anunció la incautación de más de 8,6 millones de dólares en criptomonedas de la organización cibercriminal Qakbot, que ahora se ha puesto a disposición de las víctimas. "El FBI ha interrumpido esta enorme cadena de suministro criminal al quitarle la alfombra", dijo el director del FBI, Christopher Wray. "Las víctimas van desde instituciones financieras de la costa este hasta un proveedor de infraestructura crítica del medio oeste y un fabricante de dispositivos médicos de la costa oeste".

Te invitamos a leer...De ChatGPT a Midjourney: limitar los riesgos de la IA generativa en los negociosDe ChatGPT a Midjourney: limitar los riesgos de la IA generativa en los negocios

El FBI se ha asociado con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), Shadowserver, la Unidad de Delitos Digitales de Microsoft, la Alianza Nacional para la Capacitación y Cibernética Forense y I Was Pwned (HIBP) para notificar a las víctimas y tomar medidas correctivas. En Francia, la sección anticiberdelincuencia de la Jurisdicción Nacional de Lucha contra el Crimen Organizado (JUNALCO) de la Fiscalía de París supervisó la operación en el territorio. La subdirección de delitos cibernéticos también trabajó en cooperación con investigadores de otros países, bajo la dirección de fiscales de París, Los Ángeles, Frankfurt y Rotterdam, para identificar esta infraestructura.

Se espera un efecto significativo a corto plazo en las bandas cibernéticas

"Los datos del malware Qakbot ahora se pueden ver en el sitio web Have I Been Pwned", escribió su fundador, Troy Hunt. Todos ellos se pueden ver en HIBP, incluso si el incidente está marcado como "sensible". Por lo tanto, primero debe verificar si controla la dirección de correo electrónico a través del servicio de notificación o busca todos los dominios que controla a través de la función de búsqueda de dominios. "Además, las contraseñas de malware pronto podrán verse en el servicio Pwned Passwords, en línea o mediante la API", agregó Troy Hunt.

Te invitamos a leer...DSA se hace cargo hoy de los servicios digitales en la UEDSA se hace cargo hoy de los servicios digitales en la UE

"La reciente operación policial dirigida a Qakbot probablemente tendrá un impacto significativo a corto plazo (de uno a tres meses) en las actividades de muchos grupos cibercriminales", dijo Chris Morgan, analista senior de inteligencia de amenazas cibernéticas de ReliaQuest. “Se sabe que muchos grupos de ransomware de alto perfil fomentan el uso de Qakbot para facilitar el acceso inicial a las empresas objetivo. Esta alteración de Qakbot probablemente obligará a estos grupos a buscar otros métodos menos favorables para acceder a sus objetivos”, añadió Morgan. "Aún así, es difícil predecir en qué se convertirá Qakbot", dijo el analista. “Otras familias de malware, incluida la botnet Emotet, han sido atacadas anteriormente por las autoridades y bloqueadas durante largos períodos antes de resurgir. Con respecto a los cargadores de malware, ReliaQuest señaló recientemente que Qakbot y otros dos cargadores representaron el 80% del total de incidentes con cargadores de malware. “Los otros dos cargadores más utilizados son SocGholish y RaspBerry Robin. Es muy posible que grupos criminales conocidos recurran a estos cargadores de alto rendimiento para reemplazar el Qakbot”.

Medidas de mitigación para permitir

Según Troy Hunt, el consejo que se puede dar a las víctimas de incidentes relacionados con Qakbot es el mismo que ha demostrado ser exitoso en incidentes de malware anteriores, a saber: Mantenga actualizado su software de seguridad, como el antivirus con las últimas versiones; no reutilice las mismas contraseñas para diferentes servicios y utilice un administrador de contraseñas para generar contraseñas seguras y únicas; habilitar la autenticación multifactor cuando sea compatible, al menos para los servicios más importantes; Para los administradores con usuarios afectados, CISA ha publicado un informe que explica cómo funciona el malware con más detalle, incluidos enlaces a las reglas YARA para identificar más fácilmente la presencia del malware en la red.


Para leer contenido relacioanado a "La botnet Qakbot es desmantelada por una acción internacional" puedes ingresar a la categoría Actualidad.

Índice
  1. Tráfico de la botnet Qakbot redirigido hacia y a través de servidores controlados
  2. Se espera un efecto significativo a corto plazo en las bandas cibernéticas
  3. Medidas de mitigación para permitir

Contenido relacionado

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Tu puntuación: Útil

Subir