Qakbot, una notoria red de bots, ha sido derribado por una operación policial multinacional encabezada por el FBI, Operación “Caza de Patos”. La red de bots, también llamado Qbot y Pinkslipbot, que se considera una de las botnets más grandes y de mayor duración hasta la fecha. Según estimaciones conservadoras, Los funcionarios encargados de hacer cumplir la ley han vinculado a Qakbot con al menos 40 ataques de ransomware. Estos ataques se dirigieron a empresas, proveedores de servicios de salud, y agencias gubernamentales en todo el mundo, causando daños por cientos de millones de dólares. sobre el pasado 18 meses, las pérdidas debidas a estos ataques han superado 58 Millón de dólares.
Se sabe que Qakbot implementa múltiples tipos de malware, troyanos, y variantes de ransomware altamente destructivas. También utilizaron a sus afiliados u operadores., que incluyen a Conti, ProLock, egregor, REVOLVER, RescateExx, Megacorteza, y most recently, Black Basta. Apunta a Estados Unidos y otras infraestructuras globales, incluido el Subsector de Infraestructura Electoral, Servicios financieros, Servicios de emergencia, e Instalaciones Comerciales.
¿Cómo se ha detectado la botnet Qakbot??
El FBI encontró una serie de archivos relacionados con el funcionamiento del Red de bots Qakbot en una computadora utilizada por uno de sus administradores. Estos archivos incluyen Charlas entre los administradores de Qakbot y los co-conspiradores.. También un directorio que contiene varios archivos que contienen información relacionada con billeteras de moneda virtual., según documentos judiciales, que incluía una computadora utilizada por uno de sus administradores después de había infectado más 700,000 ordenadores, con más de 200,000 en los Estados Unidos.
Mientras buscaba en la misma computadora, un archivo separado llamado 'payments.txt' fue descubierto. Contenía un lista de personas que habían sido víctimas al ransomware. También incluía información sobre el grupo de ransomware, detalles sobre sus sistemas informáticos, fechas de los ataques, y la cantidad de BTC pagada a los administradores de Qakbot en relación con los ataques.
La agencia redirigió el tráfico de Qakbot a sus servidores, dando al FBI el acceso que necesitaba para eliminar el malware de los dispositivos comprometidos en todo el mundo. Esto impidió el despliegue de cargas útiles maliciosas adicionales..
Las víctimas no fueron informadas cuando se ejecutó el desinstalador para eliminar el malware de sus sistemas. Aún, el El FBI los contactó usando direcciones IP y enrutamiento de información recopilada de sus computadoras durante la eliminación.
Recomendaciones
Las organizaciones deben implementar las recomendaciones proporcionadas en el CSA conjunto de CISA y FBI.. Esto ayudará a reducir el riesgo de actividad relacionada con QakBot y facilitar la detección de ransomware facilitado por QakBot e infecciones de malware. Si encuentra alguna incidencia o actividad anómala, no dude en ponerse en contacto con cualquiera de las siguientes organizaciones sin demora:
- CISA, ya sea a través de la herramienta en línea de la agencia (cisa.gov/report) o el 24/7 Centro de Operaciones o (888) 282-0870.
- FBI a través de una oficina de campo local.
Cómo prevenir ataques de botnets?
Usar software antimalware es una medida importante para proteger su computadora de las amenazas en línea. Los ciberdelincuentes pueden utilizar malware para robar su información privada, monitorear su actividad en línea, o apoderarse de su computadora y utilizarla como una botnet. Sin embargo, Un software antimalware confiable puede detectar y eliminar malware antes de que pueda dañar su sistema.. Ser proactivo en la protección de su computadora, es necesario actualizar periódicamente su software antimalware y realizar análisis completos del sistema. También es crucial para mantener su sistema operativo y otro software actualizado, ya que las actualizaciones de software a menudo proporcionan parches de seguridad que abordan vulnerabilidades conocidas.
