Según acusaciones recientes, es posible que la organización de malware Qakbot haya seguido operando durante varios meses después de que el FBI la desmantelara en agosto de 2023.
Investigadores de la empresa de ciberseguridad Cisco Talos descubrieron que los actores de la amenaza no han perdido tiempo y han comenzado una nueva campaña. Esta campaña utiliza una variación del ransomware Cyclops/Ransom Knight junto con la infame puerta trasera Remcos. El desmantelamiento del grupo por parte del FBI parece haber tenido poco o ningún efecto, si es que tuvo alguno, en las acciones del grupo, como lo confirma este artículo.
Los investigadores pudieron rastrear los metadatos ocultos dentro de los archivos LNK asociados con esta nueva campaña hasta computadoras que previamente habían estado vinculadas a las acciones maliciosas de Qakbot.
En enero de 2023, investigadores de Talos realizaron un estudio que demostró cómo un sistema que inicialmente había participado en la campaña ‘AA’ pasó posteriormente a formar parte de la botnet ‘BB’. La máquina podía identificarse por el número de serie de su unidad, que era ‘0x2848e8a8’. Debido a esta revelación, los principales operadores de Qakbot decidieron eliminar todos los metadatos de sus archivos LNK en un esfuerzo por evitar ser descubiertos y seguidos.
En agosto de 2023, Talos descubrió nuevos archivos LNK provenientes del mismo sistema, lo que los llevó a un recurso compartido de red que finalmente se utilizó para distribuir una variación del ransomware Ransom Knight. Iniciar Explorer.exe y conectarse a un recurso compartido de red remoto a través de WebDAV en la dirección IP 89.23.96.203 en el puerto 80 son dos de los muchos pasos complejos que componen este proceso. Durante la ejecución remota de un archivo ejecutable usando PowerShell, que cae bajo la categoría de T1105 Ingress Tool Transfer, esta maniobra ayuda a escapar de la detección.
Se publicó un anuncio sobre Ransom Knight en la web oscura. | Cisco Talos es la fuente citada.
Los nombres de archivo vinculados a estos archivos LNK fraudulentos, que frecuentemente se asocian con preocupaciones financieras urgentes, dan la impresión de que se están difundiendo a través de correos electrónicos de phishing. Este método es consistente con la metodología de Qakbot. Los investigadores descubrieron ciertos nombres de archivos escritos en italiano, lo que proporciona cierta evidencia de que se puso especial énfasis en los usuarios ubicados en esa región.
Junto con un archivo XLL, estos archivos LNK se pueden encontrar ocultos dentro de los paquetes Zip. Los investigadores, tras un análisis más detallado, descubrieron que estos archivos XLL albergaban la puerta trasera Remcos, que funcionaba en conjunto con el ransomware Ransom Knight, brindando a los actores de amenazas acceso ilimitado a la máquina infectada después de la infección. Esto se descubrió después de que se descubriera la puerta trasera de Remcos escondida dentro de estos archivos XLL.
El archivo LNK sirve como conducto para descargar un archivo ejecutable que contiene la carga útil de Ransom Knight desde la dirección IP remota. Ransom Knight es una versión mejorada del ransomware como servicio Cyclops.
Los investigadores suponen que los actores de amenazas asociados con Qakbot son clientes del servicio y no sus diseñadores porque la entidad responsable de Cyclops reveló esta variante actualizada en mayo de 2023.
“No creemos que los actores de amenazas de Qakbot sean las personas detrás de la oferta de ransomware como servicio; más bien, sospechamos que son simplemente clientes del servicio. Creemos que la operación del FBI no dañó la distribución de correo electrónico de phishing de Qakbot. infraestructura, sino que solo afectó a sus servidores de comando y control, ya que esta nueva operación ha estado operando desde principios de agosto de 2023 y no ha cesado después del derribo, así lo afirmó el investigador de Talos Guilherme Venere.
