Actores de la amenaza QakBot: Ataques Ransom Knight y Remcos RAT
En el panorama en constante evolución de las ciberamenazas, un adversario conocido ha vuelto a asomar la cabeza. QakBot, un conocido operador de malware y botnet con un largo historial, ha regresado, haciendo gala de su tenacidad tras una operación global que destruyó parte de su infraestructura de servidores. Este resurgimiento viene acompañado de una tendencia preocupante: La asociación de QakBot con una campaña de phishing en curso que ha estado difundiendo el troyano de acceso remoto (RAT) Remcos y el ransomware Ransom Knight desde agosto. Este blog profundiza en las actividades recientes de los actores de la amenaza QakBotarrojando luz sobre su conexión con estas campañas maliciosas y las posibles implicaciones para el panorama de la ciberseguridad.
Desvelando el regreso de los actores de la amenaza QakBot
A pesar de las importantes interrupciones de la infraestructura, los operadores de QakBot han demostrado ser ingeniosos. Han estado participando activamente en un esfuerzo de phishing desde principios de agosto de 2023, que culminó con la distribución de ataques de ransomware Ransom Knight (también conocido como Cyclops) y Remcos RAT.
Cabe señalar que la operación de represión parece haber afectado únicamente a los servidores de mando y control (C2) de QakBot, dejando intacta la infraestructura de distribución de spam. Según un informe recienteGuilherme Venere, experto en ciberseguridad de Cisco Talos.
Afiliación con confianza moderada
Con una confianza moderada, los expertos en ciberseguridad vinculan esta campaña en curso a los afiliados de QakBot. Es importante destacar que no hay pruebas de que los actores de la amenaza continuaran distribuyendo el cargador de malware QakBot después de que la infraestructura fuera desmantelada. Esto pone en duda su objetivo estratégico y si han cambiado su enfoque hacia tácticas nuevas y más retorcidas.
El viaje de QakBot
A la hora de formular una respuesta de seguridad a los ataques de QakBot y Remcos RAT es imprescindible mantenerse informado sobre la evolución de las tácticas y estrategias empleadas por estas amenazas. QakBotQakBot, también conocido como QBot y Pinkslipbot, hizo su primera aparición en 2007 como troyano bancario basado en Windows. Con el tiempo evolucionó para transmitir nuevas cargas útiles, incluido ransomware. Sin embargo, a finales de agosto de 2023, durante una operación apodada Duck Hunt (Caza del pato), esta legendaria operación de malware sufrió un serio revés, lo que indica el deseo de las autoridades de poner fin a sus actividades.
La reciente campaña
En el ámbito de la ciberseguridad la atribución de ciberamenazas a QakBot se ha convertido en una preocupación crítica para las organizaciones de todo el mundo. La última oleada de actividad, que comenzó poco antes del desmantelamiento de la infraestructura, suele iniciarse con un archivo archivo LNK malicioso. Este archivo se envía con frecuencia a través de correos electrónicos de phishing. Cuando se activa, inicia el proceso de infección, que resulta en el despliegue del ransomware Ransom Knight. Ransom Knight es un cambio de marca reciente del esquema Cyclops ransomware-as-a-service (RaaS) que hace hincapié en la evolución de las ciberamenazas.
Los ciberataques de Remcos RAT vinculados a QakBotademás de Ransom Knight, se han convertido en un aspecto esencial de esta campaña. Se descubrió que las carpetas ZIP que contenían los archivos LNK incluían archivos de complemento de Excel (.XLL). Estos archivos se utilizan para propagar la RAT Remcos, que proporciona a los actores de amenazas acceso continuo de puerta trasera a los puntos finales comprometidos. El uso de Remcos RAT subraya la complejidad de esta campaña.
El uso de nombres de archivo escritos en italiano es un componente inusual de esta estrategia. Esto indica un esfuerzo dirigido, con los actores de la amenaza apuntando a los usuarios en la región de habla italiana. La especificidad de su objetivo implica un nivel de intención estratégica que va más allá de los ataques oportunistas.
Investigaciones del grupo de malware QakBot
A pesar de sus problemas de infraestructura, los expertos advierten que QakBot no debe pasarse por alto. "Aunque no hemos visto a los actores de la amenaza que distribuyen QakBot tras el desmantelamiento de la infraestructura, creemos que es probable que el malware siga representando una amenaza significativa en el futuro", afirma Guilherme Venere, de Cisco Talos. afirma Guilherme Venere, de Cisco Talos. "Dado que los operadores siguen activos, pueden decidir reconstruir la infraestructura de Qakbot con el fin de restaurar todas las actividades previas al desmantelamiento". Esto subraya la importancia de permanecer alerta ante la evolución de las amenazas.
Arsenal en expansión
Sorprendentemente, este ciclo de asalto no se detiene con el despliegue de Ransom Knight y Remcos RAT. Otros programas maliciosos, como DarkGate, MetaStealer y RedLine Stealer, se han distribuido utilizando la misma infraestructura. El alcance de esta actividad es difícil de precisar, pero la red de distribución de QakBot ha demostrado continuamente su valía. Ha atacado a víctimas no sólo en Italia, sino también en Alemania y otros países de habla inglesa, lo que demuestra el alcance global de la campaña.
Conclusión
Estos campañas de ransomware de los actores de QakBotasí como su conexión con la propagación de Ransom Knight y Remcos RAT, sirven como un recordatorio agudo del peligro siempre cambiante al que se enfrentan las organizaciones y los individuos. A pesar de que su infraestructura ha sido objetivo de las fuerzas de seguridad, los actores de la amenaza QakBot permanecen activos y flexibles.
A medida que evolucionan sus estrategias y objetivos, los expertos en ciberseguridad y las organizaciones deben permanecer vigilantes, reforzando sus defensas para combatir ésta y otras amenazas emergentes. Mantenerse un paso por delante de las amenazas en un mundo digital en continua evolución es fundamental para mantener un entorno en línea seguro.
Las fuentes de este artículo incluyen artículos en The Hacker News y SC Media.