El gobierno de Estados Unidos dijo hoy que una operación policial multinacional ha destruido Qakbot, también conocido como QBot, una infame botnet y cargador de malware que fue responsable de pérdidas que ascendieron a cientos de millones de dólares en todo el mundo, y que han confiscado más de 8,6 millones de dólares en criptomonedas ilegales.
Durante una conferencia de prensa celebrada el martes para anunciar la eliminación de la botnet, el fiscal federal Martín Estrada se refirió a la investigación como “la operación tecnológica y financiera más importante jamás dirigida por el Departamento de Justicia contra una botnet”. Duck Hunt estaba dirigido por el FBI. Por un lado, el gobierno federal desarrolló algún software que, cuando se instalaba en computadoras infectadas con Qbot, inutilizaba el virus.
Las agencias policiales de Estados Unidos y otros países han trabajado juntas durante los últimos tres días para confiscar 52 servidores que se utilizaban para sostener la red QBot. Con la ayuda de Francia, Alemania, los Países Bajos, el Reino Unido, Rumania y Letonia, estas agencias lograron “evitar que Qakbot resucitara y causara más daños adicionales”, como se indica en el informe.
El malware conocido como Qakbot es un ejemplo clásico de botnet basada en Windows. Sus operadores engañan a las personas (generalmente mediante archivos adjuntos de correo electrónico o documentos maliciosos de Microsoft Office) para que descarguen y ejecuten el software. Una vez instalado, el software tiene la capacidad de recuperar y ejecutar cargas útiles adicionales desde servidores remotos. Además, el software se comunica con servidores remotos para recibir sus órdenes a ejecutar. Puede usarse para hacer puertas traseras a las máquinas afectadas, robar sus contraseñas y registrar sus pulsaciones de teclas, drenar pagos de cuentas bancarias en línea y más. Es una navaja suiza de programas maliciosos.
Según una solicitud de incautación que hizo pública el Departamento de Justicia, el FBI pudo obtener acceso a las computadoras de administración de Qakbot. Este acceso ayudó a las autoridades a trazar la arquitectura del servidor que se empleó en el funcionamiento de la botnet.
La Oficina Federal de Estudios (FBI) llegó a la conclusión, basándose en su estudio, de que la botnet Qakbot utilizaba servidores de comando y control de nivel 1, 2 y 3. Estos servidores se emplean para enviar órdenes a dispositivos para que las ejecuten, instalar actualizaciones de malware y descargar más cargas útiles de socios.
Los servidores de nivel 1 son dispositivos infectados que tienen cargado un módulo de “supernodo”. Estos servidores son un componente de la infraestructura de comando y control de la botnet y algunas de las víctimas se encuentran en los Estados Unidos de América. Los servidores de nivel 2 también son servidores de comando y control; sin embargo, son operados por operadores de Qakbot, a menudo desde servidores arrendados ubicados fuera de los Estados Unidos de América.
Según la información proporcionada por el FBI, los servidores de Nivel 1 y 2 se utilizan para transmitir contactos cifrados con los servidores de Nivel 3.
Estos servidores de nivel 3 sirven como principales servidores de comando y control para la botnet, lo que les permite proporcionar nuevas órdenes para que las ejecuten las computadoras infectadas, nuevos módulos de software malicioso para que las computadoras infectadas descarguen y malware para que las computadoras infectadas lo instalen desde el socios de botnets, como bandas de ransomware.
Los dispositivos infectados que transportan el malware Qakbot interactuarían, en promedio, con una lista incorporada de servidores de Nivel 1 una vez cada uno a cuatro minutos para establecer contacto cifrado con un servidor de Nivel 3 y recibir órdenes cifradas para llevar a cabo o nuevas. cargas útiles para descargar e instalar.
Pese a ello, el FBI logró obtener las claves de cifrado que se utilizaron para interactuar con estos servidores cuando comprometieron la infraestructura del Qakbot y los dispositivos utilizados por sus administradores.
Utilizando estas claves, el FBI se puso en contacto con cada servidor de nivel 1 y le ordenó que reemplazara el módulo “supernodo” previamente instalado por Qakbot por uno desarrollado por las fuerzas del orden. Esto lo hacían utilizando un dispositivo infectado que estaba bajo su control y que habían infectado.
El nuevo módulo de supernodo controlado por el FBI empleó nuevas claves de cifrado a las que los operadores de Qakbot no tenían acceso. Como resultado, los operadores de Qakbot esencialmente quedaron excluidos de su propia infraestructura de comando y control, ya que no podían interactuar de ninguna manera con los servidores de Nivel 1.
Después de esto, el FBI desarrolló una DLL de Windows (f) personalizada que sirvió como herramienta de eliminación y se envió a los dispositivos afectados a través de los servidores de nivel 1 comprometidos.
Este archivo DLL personalizado, según un análisis del módulo FBI realizado por SecureWorks, entregó el comando QPCMD_BOT_SHUTDOWN al malware Qakbot que se ejecutaba en los dispositivos comprometidos. Esto hace que el proceso de malware deje de funcionar.
Según la Oficina Federal de Investigaciones (FBI), un tribunal dio permiso para que este programa de eliminación de Qakbot desarrollarse con el propósito expreso de desinstalar únicamente el virus de las máquinas que ya estaban infectadas. Además, dado que el virus sólo puede funcionar cuando está cargado en la memoria, la aplicación antimalware no leyó ni escribió nada en el disco duro durante su funcionamiento.
Actualmente, el FBI desconoce la cantidad total de dispositivos que se han limpiado de esta manera; sin embargo, dado que el proceso comenzó durante el fin de semana, anticipan que se limpiarán más dispositivos cuando se vuelvan a conectar a la infraestructura Qakbot secuestrada.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
