Nulla di fatto. Nonostante l’impegno di autorità statunitensi ed europee per smantellare la famigerata botnet Qakbot, l’agente malevolo è tornato a mietere vittime.
A dispetto del sequestro dei server, di milioni di dollari in criptovaluta e del sistema studiato per rimuovere automaticamente il malware dai dispositivi infetti, questa minaccia sembra già essere tornata all’opera.
Talos ha monitorato le attività legate a Qakbot e giovedì ha sottolineato che la campagna lanciata dai criminali informatici all’inizio di agosto è continuata, senza sosta, anche dopo l’intervento delle forze dell’ordine.
Nell’ambito di questa campagna, gli hacker hanno distribuito il ransomware Ransom Knight e la backdoor Remcos tramite e-mail di phishing. Ciò suggerisce, secondo gli esperti di Talos, che l’operazione delle forze dell’ordine ha avuto un impatto solo sui server di comando e controllo di Qakbot, senza incidere sull’infrastruttura di distribuzione dello spam.
Qakbot non è morto: gli hacker a lavoro per ricostruire l’infrastruttura
La campagna che distribuisce malware Ransom Knight e Remcos sembra essere opera degli affiliati Qakbot, noti per una precedente operazione denominata AA, svolta nel corso del 2021 e del 2022.
Ecco la dichiarazione ufficiale di Talos in merito “Riteniamo che Qakbot continuerà probabilmente a rappresentare una minaccia significativa in futuro. Dato che gli operatori rimangono attivi, potrebbero scegliere di ricostruire l’infrastruttura Qakbot per riprendere completamente la loro attività di pre-smantellamento“.
Stando ad alcune fonti di SecurityWeek, inoltre, vi sarebbero chiari segnali che l’infrastruttura che regge le operazioni del malware è in fase di ricostruzione, con i criminali informatici che si stanno muovendo per ripristinare il sistema di diffusione di Qakbot.
Quando hanno annunciato il tentativo di rimozione, le autorità statunitensi hanno affermato di aver ottenuto l’accesso all’infrastruttura Qakbot e di aver identificato più di 700.000 computer infetti in tutto il mondo. L’FBI ha reindirizzato il traffico Qakbot attraverso i server controllati dall’agenzia, ordinando ai dispositivi infetti di scaricare il software di disinstallazione del malware.