Qbot: saliendo de la sombra de Emotet

Desde el espectacular derribo de la infraestructura de Emotet, surgió la pregunta de quién tomaría el trono del ex «rey del malware». En la actualidad, parece que con el aumento de la aparición de Qbot, la línea de sucesión se ha aclarado.

Después de que Emotet esté efectivamente muerto como resultado del acceso coordinado internacionalmente por varias agencias de aplicación de la ley, no podría pasar mucho tiempo antes de que los seguidores ambiciosos llenaran el vacío que había surgido. Con Qakbot, un antiguo compañero de Emotet se ha distinguido especialmente.
También este malware, que hasta ahora ha sido un problema menor en los medios, tiene comienzos bastante modestos. Al igual que Emotet, Qakbot (también conocido como Qbot) era originalmente un troyano bancario puro que se especializaba en manipular pagos en línea y acceder a datos de inicio de sesión para portales bancarios. El malware apareció por primera vez en 2007 o 2008. Esto también convierte a Qbot en una herramienta con una historia muy larga, incluso más larga que la de Emotet. Con el tiempo, se agregaron más funcionalidades. Durante un tiempo, Emotet incluso distribuyó Qbot como un módulo de malware opcional adicional.

Antiguos compañeros

Esto no agota los paralelismos entre los dos pesos pesados ​​en la escena del malware. Para evitar la detección por parte del software antivirus, muchos programas de malware producen nuevas variantes con alta frecuencia, que difieren solo mínimamente, pero que no están cubiertas por una firma clásica. En las horas punta, Emotet produjo una nueva variante en promedio cada dos horas. Qbot no se queda atrás con una nueva variante cada tres horas.


Al igual que Emotet, Qbot puede recargar una amplia gama de módulos maliciosos. Uno de los módulos más nuevos es una herramienta de ataque llamada CobaltStrike. Esta es originalmente una herramienta utilizada para pruebas de penetración.Un análisis de los datos de telemetría muestra: Qbot no tardó mucho en aumentar masivamente la tasa aquí. Desde febrero de 2021, en G DATA hemos observado una actividad mucho mayor de la combinación de Qbot y CobaltStrike. Recordamos: El ataque contra Emotet tuvo lugar a finales de enero de este año. Por lo tanto, Qbot solo tardó unos días o semanas en recargarse. Ya era evidente en la segunda mitad de 2020 que Qbot intentaría tomar la delantera aquí y competir con Emotet. Allí, Qakbot apareció por primera vez entre los 10 programas de malware más peligrosos. Según cifras de Malwarebytes, esto representa un aumento del 465 por ciento en comparación con el mismo período del año pasado.


También hay otros paralelos sorprendentes con Emotet. Una característica clave de Emotet era que los correos electrónicos manipulados a menudo se referían a la correspondencia de correo electrónico existente. Esto aumentó la probabilidad de que los usuarios abran un archivo adjunto de correo electrónico o hagan clic en un enlace malicioso. Qbot ha tenido exactamente estas capacidades desde hace algún tiempo.

La actividad de Emotet disminuyó repentinamente después del derribo. (Click para agrandar)

Administración

Una infraestructura altamente centralizada del objetivo del ataque es un problema para malware como Qbot: por lo tanto, el malware utiliza varios trucos. Una posibilidad es que todas las comunicaciones se originen inicialmente en el equipo infectado (también conocido como el «cliente»). Se pondrán en contacto con un sitio web predeterminado para descargar más instrucciones desde allí. Si la tarea del malware es desviar datos, a menudo primero se almacenan en caché en el cliente y se cargan en otra dirección web en un momento definido previamente. No existe un “centro de control” en el sentido estricto de la palabra; todas las comunicaciones pueden manejarse a través de servidores web comprometidos o la red Tor. Desventaja aquí: este tipo de administración de clientes es propenso a fallas, ya sea
Qbot utiliza una estrategia diferente para estos casos. Esto se basa en una colección de protocolos que se utilizan realmente para la transmisión local y los servidores de medios, así como para el control basado en Internet de los dispositivos IoT: Universal Plug and Play (UPnP). Estas conexiones están encriptadas y los marcos UPnP comunes también enrutan automáticamente el tráfico de datos a través de estas conexiones a través de firewalls. Por lo tanto, todos los usuarios, ya sea en casa o en el trabajo, deben considerar cuidadosamente si UPnP debe estar activo en absoluto. Si todavía está allí y no es necesario, definitivamente debería desactivarse.
Además, esta nueva herramienta multifuncional hace uso de una estructura multicapa de servidores de control. Los clientes nunca tienen contacto con el servidor de control real. En su lugar, se ponen en contacto con un bot existente, que a su vez recibe sus instrucciones de uno de los muchos servidores proxy. Estos, a su vez, reciben instrucciones del servidor de control real. Por un lado, esto hace que sea más difícil rastrear y localizar servidores de control reales y, al mismo tiempo, ofrece un alto nivel de resistencia a fallas en cualquier punto de la cadena de comunicación.

Modelo de negocio y oportunidades para dejarse atrapar

Se puede suponer con cierta certeza que Qbot opera un modelo de negocio similar al de Emotet en ese momento: los clientes pagan por la colocación de malware en un sistema. Alternativamente, se intercambian las capacidades de los sistemas infectados; Los clientes también pueden alquilar los sistemas por horas para cosas como ataques DDoS o para enviar mensajes de spam. Es de esperar que los delincuentes que anteriormente usaban la suite Emotet se hayan cambiado a Qbot o lo harán pronto.
El modelo es extremadamente rentable para los perpetradores. Al mismo tiempo, el riesgo de ser atrapado para los clientes individuales que utilizan la infraestructura de Qbot es comparativamente bajo, ya que todos los procesos son llevados a cabo por varios intermediarios que no necesariamente se conocen entre sí. Tan agradable y espectacular como fue la destrucción de Emotet y tanto como se celebró: esto fue precedido por una investigación preliminar que duró varios años y atravesó numerosas fronteras nacionales. Queda por ver si escucharemos un mensaje de este tipo en Qbot en algún momento y cuándo lo haremos.

 Protección de Qbot

Sin embargo, dado que a los criminales no les gusta que su negocio se arruine, debemos permanecer en guardia. Cuando se trata de una gran cantidad de dinero, los delincuentes rara vez cometen errores dos veces.
Hasta ahora, Qbot ha estado utilizando muchas de las estrategias que ya han demostrado su eficacia en Emotet, especialmente el cambio constante de la apariencia externa. Esto no se puede abordar con métodos tradicionales, sino con tecnologías proactivas como DeepRay , una tecnología que ve a través del «disfraz» del malware, que a menudo cambia.

Enlace: https://www.gdata.de/blog/2021/06/36882-heraustreten-aus-dem-schatten-von-emotet Blog de G DATA , Tim Berghoff Joel Taddey