[ad_1]
Los piratas informáticos detrás de Qakbot, una notoria operación de malware recientemente «descubierta» por el FBI, todavía están activos y continúan apuntando a nuevas víctimas, dicen los investigadores.
El FBI anunció en agosto que había «interrumpido y desmantelado» con éxito la infraestructura del malware Qakbot de larga duración, que infectó más de 700.000 computadoras en todo el mundo y causó daños por cientos de millones de dólares. El FBI dijo en ese momento que el desmantelamiento, denominado «Operación Caza de Patos», incluía la incautación de 52 servidores, que según la agencia «destruirían permanentemente» la botnet.
A pesar de estos esfuerzos, los piratas informáticos detrás del malware Qakbot continúan enviando spam a nuevas víctimas, según un nuevo estudio de Cisco Talos.
Los investigadores dicen que han observado a los piratas informáticos ejecutando una campaña desde principios de agosto que difunde el ransomware Ransom Knight, un reciente cambio de nombre del ransomware como servicio Operation Cyclops y el troyano de acceso remoto Remcos que brinda a los atacantes: Acceso completo a la computadora de la víctima. mediante el envío de correos electrónicos de phishing. Los atacantes también han comenzado a difundir el malware de robo de información RedLine y la puerta trasera Darkgate, le dice a TechCrunch el investigador de Talos, Guilherme Venere.
Talos dice que tiene «certeza moderada» de que los piratas informáticos afiliados a Qakbot están detrás de esta campaña, y señala que los nombres de archivos utilizados y los temas de asuntos financieros urgentes son consistentes con campañas anteriores de Qakbot.
Talos señala que los nombres de los archivos maliciosos utilizados están escritos en italiano, lo que sugiere que los piratas informáticos se dirigen principalmente a usuarios de esa región, y agrega que la campaña también estaba dirigida a hablantes de inglés y alemán. Venere le dice a TechCrunch que es difícil determinar el verdadero alcance de la campaña, pero dijo que la red de distribución de Qakbot es extremadamente efectiva y tiene la capacidad de impulsar campañas a gran escala.
Las víctimas anteriores de Qakbot incluyeron una empresa de tecnología energética con sede en Illinois; organizaciones de servicios financieros con sede en Alabama, Kansas y Maryland; un fabricante de defensa con sede en Maryland; y una empresa de distribución de alimentos en el sur de California, según el FBI.
Según los investigadores, esta campaña, que comenzó antes del cierre del FBI, todavía está en curso. Según Talos, esto indica que la Operación Duck Hunt puede no haber afectado la infraestructura de envío de spam de los operadores de Qakbot, sino sólo sus servidores de comando y control (C2).
«Es probable que Qakbot siga representando una amenaza significativa en el futuro, ya que los desarrolladores no han sido arrestados y Talos cree que todavía están operativos», dijo Venere. Talos señaló que los atacantes pueden optar por reconstruir la infraestructura de Qakbot para que puedan reanudar completamente la actividad antes del cierre.
Un portavoz anónimo del FBI declinó hacer comentarios.
[ad_2]