El FBI y el Departamento de Justicia de Estados Unidos han ejecutado una operación a nivel mundial para desarticular la red de bots más grande del mundo, conocida como Qakbot, acabando con su infraestructura. La acción representa la mayor interrupción financiera y técnica hacia una infraestructura de botnet aprovechada por los ciberdelincuentes para cometer ransomware, fraudes financieros y otras actividades ciberdelictivas.
¿Qué es Qakbot?
La operación, denominada Operación Duck Hunt, ha acabado con QakBot, una célebre familia de programas maliciosos para Windows que, según las estimaciones, ha comprometido más de 700.000 ordenadores en todo el mundo. Sin embargo, es esencial comprender cómo se distribuyó el malware, qué comportamiento malicioso realizaba y quién lo utilizaba.
Qakbot, también conocido como Qbot y Pinkslipbot, comenzó como un troyano bancario en 2008, utilizado para robar credenciales bancarias, cookies de sitios web y tarjetas de crédito para llevar a cabo fraudes financieros.
Sin embargo, con el tiempo, el malware evolucionó hasta convertirse en un servicio de entrega de malware utilizado por otros actores de amenazas para obtener acceso inicial a las redes con el fin de llevar a cabo ataques de ransomware, robo de datos y otras actividades cibernéticas maliciosas.
Qakbot se distribuye a través de campañas de phishing que utilizan una variedad de señuelos, incluyendo ataques de correo electrónico de cadena de respuesta, que es cuando los actores de amenazas utilizan un hilo de correo electrónico robado y luego responden a él con su propio mensaje y un documento malicioso adjunto.
Estos correos suelen incluir documentos maliciosos como archivos adjuntos o enlaces para descargar archivos maliciosos que instalan el malware Qakbot en el dispositivo del usuario.
Los documentos cambian entre las campañas de phishing y van desde documentos de Word o Excel con macros maliciosas, archivos de OneNote con archivos incrustados, hasta archivos adjuntos ISO con ejecutables y accesos directos de Windows. Algunos de ellos también están diseñados para explotar vulnerabilidades de día cero en Windows.
Independientemente de cómo se distribuya el malware, una vez instalado Qakbot en un ordenador, se inyectará en la memoria de un proceso legítimo de Windows, como wermgr.exe o AtBroker.exe, para intentar eludir la detección del software de seguridad.
Una vez que el malware se ejecuta en un dispositivo, busca información que robar, incluidos los correos electrónicos de la víctima, para utilizarla en futuras campañas de phishing por correo electrónico. Sin embargo, los operadores de Qakbot también se asociaron con otros actores de amenazas para facilitar la ciberdelincuencia, como proporcionar a las bandas de ransomware acceso inicial a las redes corporativas.
En el pasado, Qakbot se asoció con múltiples operaciones de ransomware, incluidas Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex y, más recientemente, Black Basta y BlackCat/ALPHV. El FBI dice que, entre octubre de 2021 y abril de 2023, los operadores de Qakbot ganaron aproximadamente 58 millones de dólares por pagos de ransomware.
Infraestructura de Qakbot
La estructura modular de QakBot permite diversas funciones maliciosas, como la inyección en procesos y en la web, la enumeración de la red de la víctima y el robo de credenciales, así como la entrega de cargas útiles de seguimiento como Cobalt Strike, Brute Ratel y otros programas maliciosos.
Históricamente, la infraestructura C2 de QakBot dependía en gran medida del uso de proveedores de alojamiento para su propia infraestructura y actividad maliciosa. Estos proveedores alquilan servidores a actores de amenazas maliciosas, ignoran las denuncias de abusos y no cooperan con las fuerzas de seguridad. En un momento dado, miles de ordenadores víctimas con Microsoft Windows estaban infectados con QakBot; la botnet se controlaba a través de tres niveles de servidores C2.
El primer nivel de servidores C2 incluye un subconjunto de miles de bots seleccionados por los administradores de QakBot, que son ascendidos a «supernodos» de nivel 1 mediante la descarga de un módulo de software adicional. Estos supernodos se comunican con los ordenadores víctimas para retransmitir comandos y comunicaciones entre los servidores C2 ascendentes y los ordenadores infectados. A mediados de junio de 2023, se habían identificado 853 supernodos en 63 países, que estaban activos ese mismo mes. Se ha observado que los supernodos cambian con frecuencia, lo que ayuda a QakBot a eludir la detección por parte de los defensores de la red. Se ha observado que cada bot se comunica con un conjunto de supernodos de nivel 1 para retransmitir comunicaciones a los servidores C2 de nivel 2, que sirven como proxies para ocultar el servidor C2 principal. El servidor de nivel 3 controla todos los bots.
¿Cómo se logró el desmantelamiento de la red de botnets?
Según el FBI, tanto los servidores de nivel 1 como los de nivel 2 se utilizaban para retransmitir comunicaciones cifradas con los servidores de nivel 3. Estos servidores de nivel 3 actúan como la central de la red de bots.
Los servidores Tier-3 actúaban como servidores centrales de mando y control para emitir nuevos comandos a ejecutar, nuevos módulos de software malicioso a descargar y malware a instalar de los socios de la botnet, como las bandas de ransomware.
Cada 1 a 4 minutos, el malware Qakbot de los dispositivos infectados se comunicaba con una lista integrada de servidores de nivel 1 para establecer una comunicación cifrada con un servidor de nivel 3 y recibir órdenes que ejecutar o nuevas cargas útiles que instalar.
Sin embargo, después de que el FBI se infiltrara en la infraestructura de Qakbot y en los dispositivos del administrador, accedió a las claves de cifrado utilizadas para comunicarse con estos servidores. Con estas claves, el FBI utilizó un dispositivo infectado bajo su control para ponerse en contacto con cada servidor de nivel 1 y hacer que sustituyera el módulo «supernodo» de Qakbot ya instalado por uno creado por las fuerzas de seguridad.
Este nuevo módulo supernodo controlado por el FBI utilizaba claves de cifrado diferentes que los operadores de Qakbot desconocían, con lo que quedaban excluidos de su propia infraestructura de mando y control, ya que no tenían forma de comunicarse con los servidores de primer nivel.
A continuación, el FBI creó una DLL de Windows personalizada (o módulo Qakbot) [VirusTotal] que actuaba como herramienta de eliminación y se enviaba a los dispositivos infectados desde los servidores Tier-1 ahora pirateados. Según un análisis del módulo del FBI realizado por SecureWorks, este archivo DLL personalizado emitía el comando QPCMD_BOT_SHUTDOWN al malware Qakbot que se ejecutaba en los dispositivos infectados, lo que provocaba que el proceso del malware dejara de ejecutarse.
El FBI afirma que esta herramienta de eliminación de Qakbot fue autorizada por un juez con un alcance muy limitado, consistente únicamente en eliminar el malware de los dispositivos infectados. Además, como el malware se inyecta en la memoria de otro proceso, la herramienta de eliminación no necesita leer ni escribir nada en el disco duro para cerrar el proceso.
«Qakbot establece la persistencia en un host cuando detecta que un usuario inicia el cierre del sistema. El uso de la tubería con nombre para terminar el proceso de Qakbot evita la persistencia», indica la entidad de ciberseguridad SecureWorks. «Como resultado, Qakbot no se ejecutará si se reinicia el host».
En este momento, el FBI no está seguro del número total de dispositivos que se han limpiado de esta manera, pero como el proceso comenzó durante el fin de semana, esperan que se limpien más dispositivos a medida que se conecten de nuevo a la infraestructura de Qakbot secuestrada.
Las autoridades indican que, unque se trata sin duda de una victoria para las fuerzas de seguridad, puede que no sea el final de la operación Qakbot, ya que no se han producido detenciones. Por lo tanto, es probable que veamos a los operadores de Qakbot comenzar a reconstruir su infraestructura en los próximos meses a través de campañas de phishing o mediante la compra de instalaciones a través de otras botnets.
Indicadores de Compromiso (IoC)
El FBI ha observado las siguientes tácticas, técnicas y procedimientos (TTP) de los actores de amenazas en relación con las infecciones de QakBot:
- QakBot establece la persistencia a través de la clave de ejecución del registro según sea necesario. Eliminará esta clave cuando se ejecute y la volverá a configurar antes de reiniciar el ordenador: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- QakBot también escribirá su binario de nuevo en el disco para mantener la persistencia en la siguiente carpeta: C:\Users\\AppData\Roaming\Microsoft\\
- QakBot escribirá una configuración de registro cifrada detallando información sobre el bot en la siguiente clave de registro: HKEY_CURRENT_USER\Software\Microsoft\
Además, se determinó que las siguientes direcciones IP habían obtenido acceso a los ordenadores de las víctimas. Se recomienda a las organizaciones que revisen cualquier conexión con estas direcciones IP, ya que podrían indicar una infección por QakBot y/o malware de seguimiento.
Dirección IP | Activa desde |
85.14.243[.]111 | 2020 |
51.38.62[.]181 | 2021 |
51.38.62[.]182 | 2021 |
185.4.67[.]6 | 2022 |
62.141.42[.]36 | 2022 |
87.117.247[.]41 | 2022 |
89.163.212[.]111 | 2022 |
193.29.187[.]57 | 2022 |
193.201.9[.]93 | 2022 |
94.198.50[.]147 | 2022 |
87.117.247[.]41 | 2022 |
190.2.143[.]38 | 2022 |
51.161.202[.]232 | 2023 |
51.195.49[.]228 | 2023 |
188.127.243[.]148 | 2023 |
Estas direcciones IP se consideran inactivas desde el 29 de agosto de 2023. Varias de estas IPs se observaron por primera vez en 2020, aunque la mayoría datan de 2022 o 2023, y se han relacionado históricamente con QakBot. El FBI y CISA recomiendan que las organizaciones analicen el tráfico en su red que tenga como destino estas direcciones IP y crear reglas de bloqueo y drop de dicho tráfico.
Referencia: