Secuelas de la eliminación de Qakbot: mitigaciones y protección contra amenazas futuras

El Departamento de Justicia de EE. UU. (DOJ) y el FBI colaboraron recientemente en una operación multinacional para desmantelar el notorio malware y botnet Qakbot. Si bien la operación logró interrumpir esta amenaza de larga data, han surgido preocupaciones ya que parece que Qakbot aún puede representar un peligro en forma reducida. Este artículo analiza las consecuencias de la eliminación, proporciona estrategias de mitigación y ofrece orientación para determinar infecciones pasadas.

El derribo y sus limitaciones.

Durante la operación de eliminación, las fuerzas del orden obtuvieron órdenes judiciales para eliminar de forma remota el malware Qakbot de los dispositivos infectados. Se descubrió que el malware había infectado una cantidad sustancial de dispositivos: 700.000 máquinas en todo el mundo, incluidas 200.000 computadoras en los EE. UU., estaban comprometidas en el momento de la eliminación. Sin embargo, informes recientes sugieren que Qakbot todavía está activo pero en un estado disminuido.

La ausencia de arrestos durante la operación de eliminación indica que solo los servidores de comando y control (C2) se vieron afectados, dejando intacta la infraestructura de entrega de spam. Por lo tanto, los actores de amenazas detrás de Qakbot continúan operando, presentando una amenaza continua.

Mitigaciones para la protección futura.

Para protegerse contra un posible resurgimiento de Qakbot o amenazas similares, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomiendan varias mitigaciones clave:

1. Requerir autenticación multifactor (MFA): implemente MFA para el acceso remoto a redes internas, particularmente en sectores de infraestructura crítica como la atención médica. MFA es muy eficaz para prevenir ciberataques automatizados.
2. Realice periódicamente capacitaciones sobre seguridad para empleados: eduque a los empleados sobre las mejores prácticas de seguridad, incluido evitar hacer clic en enlaces sospechosos. Fomente prácticas como verificar el origen de los enlaces y escribir nombres de sitios web directamente en los navegadores.
3. Actualizar software corporativo: mantenga actualizados los sistemas operativos, aplicaciones y firmware. Utilice sistemas centralizados de gestión de parches para garantizar actualizaciones oportunas y evaluar el riesgo de cada activo de la red.
4. Elimine las contraseñas débiles: cumpla con las pautas del NIST para las políticas de contraseñas de los empleados y priorice MFA sobre la dependencia de contraseñas siempre que sea posible.
5. Filtre el tráfico de red: bloquee las comunicaciones entrantes y salientes con direcciones IP maliciosas conocidas mediante la implementación de listas de bloqueo/permisión.
6. Desarrolle un plan de recuperación: prepare y mantenga un plan de recuperación para guiar a los equipos de seguridad en caso de una infracción.
7. Siga la regla de copia de seguridad «3-2-1»: mantenga al menos tres copias de datos críticos, dos almacenadas en ubicaciones separadas y una almacenada fuera del sitio.

Comprobación de infecciones pasadas.

Para las personas preocupadas por infecciones pasadas de Qakbot, hay buenas noticias. El Departamento de Justicia ha recuperado más de 6,5 millones de contraseñas y credenciales robadas de los operadores de Qakbot. Para comprobar si su información de inicio de sesión ha sido expuesta, puede utilizar los siguientes recursos:

1. ¿Me han engañado?: este sitio ampliamente conocido le permite verificar si su dirección de correo electrónico se ha visto comprometida en violaciones de datos. Ahora incluye el conjunto de datos de Qakbot en su base de datos.
2. Check Your Hack: Creado por la Policía Nacional Holandesa utilizando los datos incautados de Qakbot, este sitio le permite ingresar su dirección de correo electrónico y proporciona una notificación automática por correo electrónico si su dirección se encuentra en el conjunto de datos.
3. Lista de las peores contraseñas del mundo: dado que Qakbot utiliza una lista de contraseñas comunes para ataques de fuerza bruta, puede consultar esta lista para asegurarse de que su contraseña no esté entre las peores.

Fuente y redacción: thehackernews.com

Compartir