Malware Qakbot

¿Qué es Qakbot?

Qakbot (también conocido como Qbot o Pinkslipbot) es un malware modular de segunda fase con funciones de puerta trasera, cuyo propósito inicial es robar credenciales, y que ha sido señalado por CISA como una de las principales cepas de malware de 2021. Clasificado como troyano bancario, gusano y troyano de acceso remoto (RAT), Qakbot roba datos confidenciales e intenta autopropagarse a otros sistemas de la red. Qakbot también proporciona capacidades de ejecución remota de código (RCE), lo que permite a los atacantes realizar ataques manuales para lograr objetivos secundarios, como escanear la red comprometida o inyectar ransomware. 

Qakbot ha sido utilizado por bandas de ransomware como REvil, ProLock y Lockbit para distribuir varias cepas de ransomware de caza mayor. Los numerosos módulos de Qakbot también permiten el ataque automatizado de datos financieros, correos electrónicos almacenados localmente, contraseñas del sistema o hashes de contraseñas, contraseñas de sitios web y cookies de cachés de navegadores web. También pueden registrar las pulsaciones del teclado para robar cualquier credencial tecleada.

Descubierto en 2008, Qakbot ha sido objeto de constantes actualizaciones a lo largo de su vida, y su uso fluctúa con su ciclo de actualización. Después de que se pusieran a disposición versiones actualizadas en 2015, Qakbot cobró un nuevo impulso; en 2020, los investigadores de amenazas observaron que el lanzamiento de una nueva cepa de Qakbot dio lugar a un aumento del 465 % en su cuota interanual de ciberataques. En 2021, Qakbot se utilizó en el importante ciberataque a JBS, que interrumpió sus instalaciones de producción de carne y obligó a pagar un rescate de 11 millones de dólares.

Últimas noticias de Qakbot

Cómo funciona Qakbot

Como kit de exploits de segunda fase, Qakbot se introduce en el sistema de un objetivo mediante un malware descargador de primera fase, ya sea como parte del exploit inicial o poco después de haber obtenido el acceso inicial. Las brechas de acceso inicial pueden ocurrir a través de múltiples técnicas, tales como malspam o phishing de correo electrónico con un documento troyanizado, explotando una vulnerabilidad de cara al público, o ataques internos maliciosos. 

Una vez operativo en un sistema objetivo, Qakbot intenta robar credenciales y propagarse a otros hosts de la red utilizando Microsoft PowerShell y el kit de exploits Mimikatz. 

Qakbot utiliza varias técnicas para robar información confidencial de las víctimas, entre ellas:

  • Supervisión de las pulsaciones de teclas y envío de los registros a sistemas controlados por atacantes
  • Enumeración de los archivos del sistema para identificar los hash de las contraseñas almacenadas
  • Buscar en la caché de contraseñas del navegador para robar las contraseñas almacenadas mediante la función de autorrelleno del navegador.

Señales de un ataque Qakbot

Como malware de segunda fase, parte de la estrategia de Qakbot es el sigilo. Para evitar ser detectado, Qakbot evalúa el entorno local del sistema y no descifra su carga útil ni se ejecuta en algunos escenarios, como cuando se detecta virtualización o cuando están presentes determinados productos de seguridad o claves del Registro de Windows. Esto permite a Qakbot ocultar su funcionalidad impidiendo que los investigadores de seguridad obtengan y analicen rápidamente la carga útil. Otra estrategia de ocultación de Qakbot es inyectarse a sí mismo (o piggybacking) en procesos de aplicaciones legítimas. 

Una clave de ejecución no autorizada en el Registro de Windows es un indicador potencial de un compromiso de Qakbot. Las claves de ejecución del registro se utilizan para ejecutar automáticamente un programa cuando un usuario inicia sesión: Qakbot crea una entrada para autoejecutarse y persistir en el sistema. Qakbot también se actualiza notablemente en respuesta a investigaciones de seguridad publicadas para enmascarar sus indicadores de compromiso (IOC) conocidos.

Cómo prevenir un ataque Qakbot

El método más eficaz para prevenir una infección por Qakbot es impedir que los atacantes obtengan el acceso inicial y evitar que Qakbot se propague a través de una red si ya ha obtenido el acceso inicial. 

Tácticas defensivas para impedir el acceso inicial de Qakbot

  • Considere la posibilidad de impartir formación de concienciación a los usuarios para educar al personal sobre las técnicas de suplantación de identidad y desarrolle procedimientos operativos estándar para tratar los correos electrónicos y documentos sospechosos.
  • Configure los clientes de correo electrónico para que notifiquen a los usuarios cuando los mensajes procedan de fuera de la organización y bloquee todos los archivos adjuntos.zip protegidos con contraseña.
  • Configurar las aplicaciones de Microsoft Office para bloquear la ejecución de macros VBA
  • Desarrollar y mantener un programa de gestión de vulnerabilidades para detectarlas periódicamente en los servicios de cara al público y corregirlas con prontitud.
  • Instale las actualizaciones del sistema operativo y de las aplicaciones, así como los parches de seguridad, tan pronto como estén disponibles.

Tácticas defensivas para impedir el movimiento lateral de Qakbot

  • Aplicar controles de acceso estrictos basados en el principio del mínimo privilegio. 
  • Aplique políticas de contraseñas que obliguen a disponer de un espacio de claves sólido para reducir las posibilidades de que los hashes de las contraseñas violadas puedan descifrarse fuera de línea.
  • Realización periódica de análisis de vulnerabilidades y corrección de las vulnerabilidades detectadas.
  • Utilizar dispositivos de seguridad de red, como IDS y cortafuegos de última generación, y reforzar aún más una red y segmentar los sistemas críticos en una VLAN y un dominio de Windows independientes.
  • Instalar y configurar productos de seguridad para puntos finales que escaneen los documentos cifrados inmediatamente después de descifrarlos e identifiquen los COI en la red y sus puntos finales.
  • Implantar soluciones de confianza cero siempre que sea posible, dando prioridad a los sistemas críticos.

CylanceGUARD para la protección contra malware

Como servicio XDR gestionado 24x7x365 basado en suscripciones y centrado en el ser humano, CylanceGUARD® ofrece a las empresas la experiencia y el apoyo que necesitan para prevenir y protegerse contra los ataques de ransomware. CylanceGUARD combina la experiencia integral de BlackBerry Cybersecurity Services con Endpoint Protection (EPP) basado en IA a través de CylancePROTECT®, autenticación continua y análisis a través de CylancePERSONA, y detección y corrección de amenazas en el dispositivo a través de CylanceOPTICS®. En resumen, CylanceGUARD proporciona a las empresas las personas y la tecnología necesarias para proteger a la empresa del panorama moderno de amenazas.
SABER MÁS

Recursos relacionados:

Icono de recursos Prevención de pérdida de datos (DLP) Icono de recursos Seguridad de puntos finales Icono de recursos Plataformas de protección de puntos finales (EPP) Icono de recursos Detección y respuesta a puntos finales (EDR) Icono de recursos Detección y respuesta ampliadas (XDR) Icono de recursos Gestión de identidades y accesos (IAM) Icono de recursos Detección y respuesta gestionadas Icono de recursos XDR gestionado Icono de recursos Marco ATT&CK de MITRE Icono de recursos Defensa frente a amenazas móviles (MTD) Icono de recursos Análisis del comportamiento de usuarios y entidades (UEBA) Icono de recursos Arquitectura de confianza cero Icono de recursos Acceso a la red de confianza cero (ZTNA) Icono de recursos Seguridad de confianza cero Icono de recursos Gestión de eventos e información de seguridad (SIEM) Icono de recursos Servicio de Acceso Seguro Edge (SASE)
Más recursos