En una operación policial conjunta denominada «Operación Duck Hunt» (Operación «Caza de Patos» en español) coordinada por el FBI, se ha logrado derrocar a la famosa familia de malware de Windows conocida como QakBot quien ha dejado su huella en más de 700,000 dispositivos alrededor del mundo, orquestando operaciones relativas a fraudes financieros y a la ejecución de ransomware.
Las fuerzas policiales, en una colaboración internacional sin precedentes, han llevado a cabo esta operación en conjunto con participación de fuerzas provenientes de países como Francia, Alemania, Letonia, Rumania, los Países Bajos, el Reino Unido y los Estados Unidos, junto con la asistencia técnica de la empresa de ciberseguridad Zscaler.
La «Operación Duck Hunt«, ha demostrado ser una acción sumamente efectiva, en palabras del Departamento de Justicia de los Estados Unidos (DoJ, por sus siglas en inglés), el malware está siendo eliminado de los sistemas afectados, frenando así su capacidad de causar daño adicional. Más allá de la desactivación de este malware, la operación también ha permitido la incautación de más de 8.6 millones de dólares en criptomonedas obtenidas de forma ilegal.
El desmantelamiento ha sido elogiado por diferentes medios como «la mayor interrupción financiera y técnica liderada por los Estados Unidos de una infraestructura de botnet utilizada por ciberdelincuentes», esto incluso sin que se hayan anunciado arrestos.
Este golpe no solo afecta directamente a QakBot, sino que también corta una fuente importante de ingresos para los ciberdelincuentes detrás de esta operación. Según Will Lyne, jefe de inteligencia cibernética de la Agencia Nacional del Crimen del Reino Unido (NCA, por sus siglas en inglés), «QakBot fue un facilitador clave dentro del ecosistema del cibercrimen, facilitando ataques de ransomware y otras amenazas graves».
Y es que, QakBot también conocido como QBot y Pinkslipbot, ha tenido una evolución notoria desde sus inicios como un troyano bancario en 2007. A lo largo del tiempo, se ha transformado en una herramienta multifuncional que distribuye código malicioso en sistemas comprometidos, incluido diferentes variantes de ransomware, todo ello sin que los usuarios afectados lo perciban.
Entre estas variantes de ransomware propagadas a través de QakBot, se encuentran nombres como Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta. Se estima que en rescates pagados por las víctimas de estos ransomware, los administradores de QakBot obtuvieron ganancias de aproximadamente 58 millones de dólares durante el periodo comprendido entre octubre de 2021 y abril de 2023.
QakBot también ha sido una de las familias de malware más activas en el segundo trimestre de 2023, según HP Wolf Security con la utilización de hasta 18 cadenas de ataque únicas y la realización de 56 campañas en el período de tiempo se subraya la inclinación del grupo de cibercriminales por «permutar rápidamente sus tácticas para explotar las brechas en las defensas de la red».
Es importante señalar que esta no es la primera vez que se realiza una operación de este calibre. En octubre de 2020, se llevó a cabo una acción similar contra Emotet, aunque esta familia de malware ha resurgido después de una interrupción considerable en su infraestructura central.
El éxito de la operación contra QakBot se aprecia en la manera en que los servidores controlados por el FBI redirigieron el tráfico de la botnet, lo que permitió desconectar las máquinas infectadas de la influencia de QakBot, esto, a su vez, previene la distribución de cargas maliciosas adicionales. La localización de estos servidores es variada, si bien la mayoría de los servidores de comando y control (C2) se localizan en Estados Unidos, Reino Unido, India, Canadá y Francia aunque su infraestructura principal se encuentra en Rusia.
Específicamente, estos servidores instruían a los puntos finales comprometidos a descargar un archivo de desinstalación diseñado para desconectar las máquinas de la botnet de QakBot, impidiendo eficazmente la entrega de cargas adicionales.
Secureworks Counter Threat Unit (CTU) informó que detectó la botnet distribuyendo una shellcode a dispositivos infectados el 25 de agosto de 2023:
«Desempaqueta un ejecutable DLL (biblioteca de vínculos dinámicos) personalizado que contiene código que puede terminar limpiamente el proceso QakBot en ejecución en el host mediante un comando QPCMD_BOT_SHUTDOWN.»
Secureworks Counter Threat Unit (CTU)
No obstante, la complejidad de QakBot no debe subestimarse. Ha demostrado su capacidad para adaptarse y evolucionar en respuesta a las contramedidas de seguridad implementadas en su contra. Por ejemplo, tras la deshabilitación de las macros en las aplicaciones de Office, QakBot empezó a utilizar archivos de OneNote como vector de infección, otro ejemplo de la sofisticación y adaptabilidad de QakBot sería la capacidad que demostraron sus operadores para utilizar diversos formatos de archivo (como PDF, HTML y ZIP) en sus cadenas de ataque.
Esta operación exitosa es un testimonio de la colaboración internacional en la lucha contra el cibercrimen. Sin embargo, hay que tener siempre en cuenta que el panorama de la seguridad en los sistemas de información es siempre cambiante, y la adaptabilidad y evolución de las amenazas como QakBot requieren una vigilancia constante y medidas de seguridad actualizadas.
Más información:
- https://www.justice.gov/usao-cdca/pr/qakbot-malware-disrupted-international-cyber-takedown
- https://www.secureworks.com/blog/qakbot-campaign-delivered-black-basta-ransomware
- https://www.nationalcrimeagency.gov.uk/news/qakbot-cyber-crime-service-taken-out-in-international-operation
- https://www.virustotal.com/gui/file/7cdee5a583eacf24b1f142413aabb4e556ccf4ef3a4764ad084c1526cc90e117
- https://www.secureworks.com/blog/law-enforcement-takes-down-qakbot
- https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown
- https://www.crowdstrike.com/blog/qakbot-ecrime-campaign-leverages-microsoft-onenote-for-distribution/
- https://www.zscaler.com/blogs/security-research/hibernating-qakbot-comprehensive-study-and-depth-campaign-analysis
- https://threatresearch.ext.hp.com/hp-wolf-security-threat-insights-report-q2-2023/
Deja una respuesta