A pesar de que su infraestructura fue incautada y desmantelada en una operación policial multinacional en el verano de 2023, el malware Qakbot que algunos de los equipos de ransomware más peligrosos del mundo utilizaron como troyano de acceso remoto (RAT) parece estar bajo desarrollo activo una vez más, según a nueva inteligencia de los investigadores de Sophos. Qakbot, que surgió a finales de la década de 2000, era una de las herramientas más consolidadas y populares disponibles para los ciberdelincuentes clandestinos, y se utilizó de muchas maneras diferentes durante su vida, incluso como troyano bancario y ladrón de credenciales. Su caída el año pasado en la Operación Duck Hunt hizo que el FBI de EE. UU. obtuviera acceso a su infraestructura y la subvirtiera para distribuir un archivo para desinstalar el malware. Los agentes federales también se incautaron de criptoactivos ilícitos por valor de millones de dólares. Sin embargo, aunque la Operación Duck Hunt fue aclamada como una gran victoria, los expertos en seguridad cibernética moderaron las celebraciones y señalaron que los actores de amenazas detrás de ella todavía estaban prófugos. Ricado Villadiego, fundador y director ejecutivo de Lumu Technologies, escribió en Computer Weekly: “Las botnets como Qbot y Emotet han demostrado ser resistentes antes de seguir operaciones de eliminación similares, pero más pequeñas, y aún está por verse si este fue el golpe mortal para Qakbot”. Ahora, el equipo de investigación de Sophos X-Ops dice que ha estado analizando muestras de una nueva variante del malware Qakbot que apareció en diciembre de 2023. “La eliminación de la infraestructura de la botnet Qakbot fue una victoria, pero los creadores del bot siguen libres y alguien que tiene acceso al código fuente original de Qakbot ha estado experimentando con nuevas construcciones y probando el terreno con estas últimas variantes”, dijo el investigador principal de Sophos X-Ops, Andrew Brandt. Entre otras cosas, el equipo de investigación dijo que los operadores de Qakbot estaban haciendo «esfuerzos concertados» para reforzar el cifrado del malware, lo que dificultaba que los defensores e investigadores analizaran su código fuente. También han encontrado evidencia de que los desarrolladores ahora están cifrando todas las comunicaciones entre el malware y el servidor de comando y control (C2), utilizando un método mucho más potente que antes, y han reintroducido una característica que evita que Qakbot se ejecute en un entorno virtual o sandbox. – otra técnica para desafiar el análisis. “Es probable que la evolución de Qakbot continúe, hasta que sus creadores enfrenten un proceso penal. La buena noticia es que, por ahora, estas nuevas variantes de Qakbot son fáciles de detectar y bloquear con firmas creadas previamente en el software de detección de terminales”, dijo Brandt a Computer Weekly en comentarios enviados por correo electrónico. Brandt dijo que aunque hasta ahora sólo han aparecido unas pocas muestras del nuevo Qakbot, la botnet era tan grande en un momento dado y tan ampliamente utilizada, que cualquier actividad que sugiera que alguien podría estar intentando revivirla merece una estrecha vigilancia. El equipo de Sophos X-Ops ha publicado detalles de su trabajo en el nuevo Qakbot, incluida una inmersión más profunda en sus capacidades de cifrado mejoradas, a través de Mastodon.

Source link