Los hackers detrás de Qakbot, una operación de malware notoria que fue recientemente «desmantelada» por el FBI, siguen activos y continúan atacando a nuevas víctimas, según investigadores.
En agosto, el FBI anunció que había «disruptado y desmantelado» con éxito la infraestructura del malware Qakbot de larga duración, que había infectado más de 700,000 máquinas en todo el mundo causando cientos de millones de dólares en daños. El FBI dijo en ese momento que la operación, llamada «Operation Duck Hunt», incluyó la incautación de 52 servidores, que la agencia dijo que «desmantelarían permanentemente» la botnet.
A pesar de estos esfuerzos, los hackers detrás del malware Qakbot continúan enviando spam a nuevas víctimas, según una nueva investigación de Cisco Talos.
Los investigadores dicen que han observado a los hackers llevando a cabo una campaña desde principios de agosto, durante la cual han estado distribuyendo el ransomware Ransom Knight, un reciente rebranding del ransomware como servicio Cyclops, y el troyano de acceso remoto Remcos, que proporciona a los atacantes acceso total a la máquina de la víctima enviando correos electrónicos de phishing. Los atacantes también han comenzado a distribuir el malware roba-información RedLine y la puerta trasera Darkgate, dijo el investigador de Talos Guilherme Venere a TechCrunch. Talos dice que evalúa con «moderada confianza» que los hackers afiliados a Qakbot están detrás de esta campaña, señalando que los nombres de archivo utilizados, junto con temas de asuntos financieros urgentes, son consistentes con campañas anteriores de Qakbot.
Talos señala que los nombres de archivo maliciosos utilizados están escritos en italiano, lo que sugiere que los hackers están dirigiéndose principalmente a usuarios en esa región, y agrega que la campaña también ha apuntado a individuos de habla inglesa y alemana. Venere le dijo a TechCrunch que identificar el alcance real de la campaña es difícil, pero dijo que la red de distribución de Qakbot es altamente efectiva y tiene la capacidad de lanzar campañas a gran escala.
Las víctimas anteriores de Qakbot incluyeron una empresa de ingeniería eléctrica con sede en Illinois; organizaciones de servicios financieros con sede en Alabama, Kansas y Maryland; un fabricante de defensa con sede en Maryland; y una empresa de distribución de alimentos en el sur de California, según el FBI.
Esta campaña, que comenzó antes del desmantelamiento del FBI, continúa según los investigadores. Esto indica que la Operación Duck Hunt puede no haber afectado la infraestructura de entrega de spam de los operadores de Qakbot, sino solo sus servidores de control y comando (C2), según Talos.
«Qakbot probablemente seguirá representando una amenaza significativa en el futuro, ya que los desarrolladores no fueron arrestados y Talos evalúa que siguen operativos», dijo Venere. Talos señaló que los atacantes pueden optar por reconstruir la infraestructura de Qakbot, lo que les permitiría reanudar completamente la actividad anterior al desmantelamiento.
Un portavoz no identificado del FBI se negó a hacer comentarios.
