Il malware Qakbot è tornato meno di quattro mesi dopo che le autorità di contrasto statunitensi e internazionali hanno smantellato la sua infrastruttura di distribuzione in un'operazione ampiamente acclamata denominata "duck Hunt. "
Negli ultimi giorni, diversi fornitori di sicurezza hanno riferito di aver visto il malware distribuito tramite e-mail di phishing che prendono di mira le organizzazioni del settore dell’ospitalità. Per il momento, i volumi di posta elettronica sembrano essere relativamente bassi. Ma data la tenacia dimostrata in passato dagli operatori di Qakbot, probabilmente non passerà molto tempo prima che il volume riprenda.
Bassi volumi: finora
Il gruppo di intelligence sulle minacce di Microsoft ha stimato che la nuova campagna sia iniziata l’11 dicembre, sulla base di un timestamp nel payload utilizzato nei recenti attacchi. Gli obiettivi hanno ricevuto e-mail con un allegato PDF da un utente che dichiarava di essere un dipendente dell'IRS, ha affermato la società in più post su X, la piattaforma precedentemente nota come Twitter. "Il PDF conteneva un URL che scarica un Windows Installer (.msi) con firma digitale", ha pubblicato Microsoft. "L'esecuzione dell'MSI ha portato al richiamo di Qakbot tramite l'esecuzione dell'esportazione 'hvsi' di una DLL incorporata." I ricercatori hanno descritto la versione di Qakbot che l’autore della minaccia sta distribuendo nella nuova campagna come una versione mai vista prima.
Anche Zscaler ha osservato la comparsa del malware. In un post su X, l'azienda identificato la nuova versione come 64 bit, utilizzando AES per la crittografia di rete e inviando richieste POST a un percorso specifico su sistemi compromessi. Proofpoint ha confermato avvistamenti simili il giorno dopo, notando anche che i PDF dell'attuale campagna sono stati distribuiti almeno dal 28 novembre.
Minaccia diffusa da molto tempo
Qakbot è un malware particolarmente dannoso in circolazione almeno dal 2007. I suoi autori originariamente utilizzavano il malware come trojan bancario, ma negli ultimi anni si sono orientati verso un modello malware-as-a-service. Gli autori delle minacce in genere distribuiscono il malware tramite e-mail di phishing e i sistemi infetti di solito diventano parte di una botnet più grande. Al momento della rimozione ad agosto, le forze dell’ordine hanno identificato fino a 700,000 sistemi infetti da Qakbot in tutto il mondo, circa 200,000 dei quali erano situati negli Stati Uniti.
Gli attori affiliati a Qakbot lo hanno sempre più utilizzato come veicolo per lanciare altri malware, in particolare Cobalt Strike, Bruto Ratel, e una serie di ransomware. In molti casi, i broker di accesso iniziale hanno utilizzato Qakbot per ottenere l’accesso a una rete bersaglio e successivamente hanno venduto tale accesso ad altri autori di minacce. "È noto che le infezioni QakBot precedono l'implementazione di ransomware gestiti da esseri umani, tra cui Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta, Royal e PwndLocker", afferma il Agenzia statunitense per la sicurezza informatica e le infrastrutture notato in una dichiarazione che annunciava la rimozione delle forze dell'ordine all'inizio di quest'anno.
L'eliminazione ha rallentato solo Qakbot
I recenti avvistamenti del malware Qakbot sembrano confermare ciò che alcuni fornitori hanno riportato negli ultimi mesi: la rimozione da parte delle forze dell’ordine ha avuto un impatto minore sugli autori di Quakbot di quanto generalmente percepito.
Nel mese di ottobre, ad esempio, i cacciatori di minacce a Cisco Talos hanno riferito che gli attori affiliati a Qakbot continuavano a distribuire la backdoor Remcos e il ransomware Ransom Knight nelle settimane e nei mesi successivi al sequestro dell'infrastruttura Qakbot da parte dell'FBI. Il ricercatore di sicurezza di Talos Guilherme Venere ha visto questo come un segno che l’operazione delle forze dell’ordine di agosto potrebbe aver messo fuori uso solo i server di comando e controllo di Qakbot e non i suoi meccanismi di distribuzione dello spam.
"Sebbene non abbiamo visto gli autori delle minacce distribuire Qakbot stesso dopo la rimozione dell'infrastruttura, valutiamo che il malware continuerà a rappresentare una minaccia significativa in futuro", ha affermato Venere all'epoca. “Lo riteniamo molto probabile poiché gli sviluppatori non sono stati arrestati e sono ancora operativi, aprendo la possibilità che possano scegliere di ricostruire l’infrastruttura Qakbot”.
La società di sicurezza Lumu ha dichiarato di aver contato un totale di 1,581 tentativi di attacchi contro i propri clienti nel mese di settembre attribuibili a Qakbot. Nei mesi successivi l'attività è rimasta più o meno allo stesso livello, secondo la società. La maggior parte degli attacchi ha preso di mira organizzazioni nei settori finanziario, manifatturiero, educativo e governativo.
La continua distribuzione del malware da parte del gruppo criminale indica che è riuscito a evitare conseguenze significative, afferma Ricardo Villadiego, CEO di Lumu. La capacità del gruppo di continuare a operare dipende principalmente dalla fattibilità economica, dalle capacità tecniche e dalla facilità di creare nuove infrastrutture, osserva. "Poiché il modello ransomware rimane redditizio e gli sforzi legali non hanno preso di mira specificamente gli individui e la struttura sottostante di queste operazioni criminali, diventa difficile neutralizzare completamente qualsiasi rete malware come questa."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/new-qakbot-sightings-confirm-law-enforcement-takedown-was-temporary-setback
