La botnet Qakbot es cada vez más avanzada y peligrosa para las organizaciones

  • Endpoint

DDos botnet

La botnet se propaga a través del secuestro de hilos de correo electrónico y recopila una amplia gama de información del perfil de los ordenadores infectados, incluidas cuentas de usuario y permisos configurados. Además, descarga módulos adicionales y presenta un cifrado elaborado.

Recomendados: 

El nuevo paradigma de seguridad para entornos SDWAN Webinar

Lee IT Digital Security (Marzo de 2022) para PC y Mac Leer

No aborde los desafíos de hoy con las soluciones de ayer: adopte un enfoque centralizado Leer

Sophos ha publicado una investigación profunda en Qakbot, que revela cómo la botnet es cada vez más avanzada y peligrosa para las organizaciones. La investigación detalla una campaña reciente de Qakbot que muestra cómo la botnet se propaga a través del secuestro de hilos de correo electrónico y recopila una amplia gama de información del perfil de máquinas recién infectadas, incluidas todas las cuentas de usuario y permisos configurados, software instalado, servicios en ejecución y más. La botnet luego descarga una serie de módulos maliciosos adicionales que mejoran la funcionalidad de la botnet central, según Sophos.

El código de malware de Qakbot cuenta con cifrado no convencional, que también utiliza para ocultar el contenido de sus comunicaciones. Sophos descifró los módulos maliciosos y decodificó el sistema de comando y control de la botnet para interpretar cómo Qakbot recibe las instrucciones.

"Qakbot es una botnet modular y multipropósito difundida por correo electrónico que se ha vuelto cada vez más popular entre los atacantes como una red de entrega de malware, como Trickbot y Emotet", explica Andrew Brandt, investigador principal de amenazas de Sophos. "El análisis profundo de Qakbot de Sophos revela la captura de datos detallados del perfil de la víctima, la capacidad de la botnet para procesar secuencias complejas de comandos y una serie de cargas útiles para ampliar la funcionalidad del motor central de la botnet. Los días de pensar en los bots como "productos básicos" simplemente molestos han quedado atrás”.

Desde Sophos alertan que los equipos de seguridad deben tomarse en serio la presencia de infecciones de Qakbot en su red e investigar y eliminar todo rastro. Las infecciones de botnet son un precursor conocido de un ataque de ransomware. Esto no se debe simplemente a que las botnets pueden entregar ransomware, sino porque sus desarrolladores venden o arriendan su acceso a redes vulneradas.