Blog

Feb 09, 2024

El FBI y sus socios europeos se apoderan de una importante red de malware

LOS ÁNGELES (AP) — Funcionarios estadounidenses dijeron el martes que el FBI y sus socios europeos se infiltraron y tomaron el control de una importante red global de malware utilizada durante más de 15 años para cometer una gama de

LOS ÁNGELES (AP) — Funcionarios estadounidenses dijeron el martes que el FBI y sus socios europeos se infiltraron y tomaron el control de una importante red mundial de malware utilizada durante más de 15 años para cometer una gama de delitos en línea, incluidos devastadores ataques de ransomware.

Luego eliminaron de forma remota el agente de software malicioso, conocido como Qakbot, de miles de computadoras infectadas.

Los expertos en ciberseguridad dijeron que estaban impresionados por el hábil desmantelamiento de la red, pero advirtieron que cualquier revés al cibercrimen probablemente sería temporal.

"Casi todos los sectores de la economía han sido víctimas de Qakbot", dijo el martes Martín Estrada, fiscal federal en Los Ángeles, al anunciar la eliminación. Dijo que la red criminal había facilitado alrededor de 40 ataques de ransomware solo durante 18 meses que, según los investigadores, generaron a los administradores de Qakbot alrededor de 58 millones de dólares.

Las víctimas del ransomware Qakbot incluyeron una empresa de ingeniería con sede en Illinois, organizaciones de servicios financieros en Alabama y Kansas, junto con un fabricante de defensa de Maryland y una empresa de distribución de alimentos del sur de California, dijo Estrada.

Las autoridades dijeron que se incautaron o congelaron 8,6 millones de dólares en cibermonedas, pero no se anunciaron arrestos.

Estrada dijo que la investigación está en curso. No dijo dónde estaban ubicados los administradores del malware, que agrupaba las máquinas infectadas en una red de bots de computadoras zombis. Los investigadores de ciberseguridad dicen que se cree que están en Rusia y/o en otros antiguos estados soviéticos.

Los funcionarios estimaron que el llamado cargador de malware, una navaja suiza digital para ciberdelincuentes también conocida como Pinkslipbot y Qbot, fue aprovechado para causar cientos de millones de dólares en daños desde que apareció por primera vez en 2008 como un troyano bancario que roba información. Dijeron que millones de personas en casi todos los países del mundo se han visto afectadas.

Generalmente entregado a través de infecciones de correo electrónico de phishing, Qakbot les dio a los piratas informáticos acceso inicial a las computadoras violadas. Luego podrían implementar cargas útiles adicionales, incluido ransomware, robar información confidencial o recopilar inteligencia sobre las víctimas para facilitar el fraude financiero y delitos como soporte técnico y estafas románticas.

La red Qakbot estaba “literalmente alimentando la cadena de suministro global del cibercrimen”, dijo Donald Alway, subdirector a cargo de la oficina del FBI en Los Ángeles, calificándola de “una de las herramientas cibercriminales más devastadoras de la historia”. Qakbot, el malware más comúnmente detectado en la primera mitad de 2023, afectó a una de cada 10 redes corporativas y representó alrededor del 30% de los ataques a nivel mundial, según descubrieron un par de empresas de ciberseguridad. Estas herramientas de “acceso inicial” permiten a las bandas extorsionistas de ransomware saltarse el paso inicial de penetrar en las redes informáticas, lo que las convierte en importantes facilitadores para los delincuentes remotos, en su mayoría de habla rusa, que han causado estragos robando datos y perturbando escuelas, hospitales y gobiernos locales. y empresas en todo el mundo.

A partir del viernes, en una operación denominada “Duck Hunt”, el FBI, junto con Europol y socios encargados de hacer cumplir la ley y la justicia en Francia, el Reino Unido, Alemania, los Países Bajos, Rumania y Letonia, confiscaron más de 50 servidores Qakbot e identificaron a más de 700.000 infectados. computadoras, más de 200.000 de ellas en Estados Unidos, aislando efectivamente a los delincuentes de su presa.

Luego, el FBI utilizó la infraestructura de Qakbot incautada para enviar de forma remota actualizaciones que eliminaron el malware de miles de computadoras infectadas. Un alto funcionario del FBI, que informó a los periodistas con la condición de no ser identificado, calificó ese número de "fluido" y advirtió que es posible que haya quedado otro malware en las máquinas liberadas de Qakbot.

Fue el mayor éxito del FBI contra los ciberdelincuentes desde que “pirateó a los piratas informáticos” con la eliminación en enero de la prolífica banda de ransomware Hive.

“Es un derribo impresionante. Qakbot fue la botnet más grande" en número de víctimas, dijo Alex Holden, fundador de Hold Security, con sede en Milwaukee. Pero dijo que puede haber sido una víctima de su propio éxito en su asombroso crecimiento en los últimos años. “Las grandes botnets hoy tienden a implosionar ya que demasiados actores de amenazas están extrayendo estos datos para diversos tipos de abuso”.

El experto en ciberseguridad Chester Wisniewski de Sophos coincidió en que, si bien podría haber una caída temporal en los ataques de ransomware, se puede esperar que los delincuentes reaviven la infraestructura en otros lugares o se trasladen a otras botnets.

"Esto causará muchos trastornos a algunas pandillas en el corto plazo, pero no servirá de nada si se reinicia", dijo. "Aunque lleva mucho tiempo reclutar 700.000 PC".

—Bajak informó desde Boston.

Contáctenosen [email protected].