blank

blank

[TLP:CLEAR]

Resumo

O QakBot, também conhecido como Qbot ou Pinkslipbot, é um malware muito usado em ataques cibernéticos há mais de uma década. O malware é capaz de roubar informações confidenciais, como credenciais de login, dados financeiros e informações de contato, e também pode ser usado como vetor de ataque para ransomware. O QakBot foi o malware mais prevalente no mundo durante o primeiro semestre de 2023. Em setembro de 2023, uma operação do FBI desativou a infraestrutura do QakBot, em uma ação considerada uma das maiores interrupções lideradas pelos EUA de uma infraestrutura de botnet usada por cibercriminosos. No entanto, como já ocorrido com outros malwares, podem ser desenvolvidas outras variantes, em particular no modelo de Malware como serviço (MaaS).

O QakBot, também conhecido como Qbot ou Pinkslipbot, é um malware muito usado em ataques cibernéticos há mais de uma década. O malware é capaz de roubar informações confidenciais, como credenciais de login, dados financeiros e informações de contato, e também pode ser usado como vetor de ataque para ransomware. O QakBot foi o malware mais prevalente no mundo durante o primeiro semestre de 2023. Em setembro de 2023, uma operação do FBI desativou a infraestrutura do QakBot, em uma ação considerada uma das maiores interrupções lideradas pelos EUA de uma infraestrutura de botnet usada por cibercriminosos. No entanto, como já ocorrido com outros malwares, podem ser desenvolvidas outras variantes, em particular no modelo de Malware como serviço (MaaS).

Pelo exposto, apesar da desativação, o QakBot e prováveis variantes ainda representam risco para as organizações públicas e privadas. Por isso, as empresas devem estar cientes das táticas e técnicas usadas pelo malware para se protegerem de ataques.

Perfil de Ataque

O QakBot é conhecido por sua versatilidade e persistência. Originado como um trojan bancário, evoluiu para um malware multifuncional capaz de realizar uma variedade de atividades maliciosas. Seu foco principal permanece nos ataques bancários, mas suas funcionalidades se estendem para o uso como vetor de ataque para ransomware, ampliando significativamente seu impacto.

blank

Fonte: https://unit42.paloaltonetworks.com/tutorial-qakbot-infection/#fancybox-3

O QakBot é tipicamente disseminado por meio de campanhas de phishing que usam e-mails maliciosos com anexos ou links infectados. Uma vez que o malware é executado no sistema, ele pode usar uma variedade de técnicas para roubar dados, incluindo:

  • Captura de teclas
  • Escaneamento de arquivos
  • Busca de senhas armazenadas

O QakBot também pode ser usado para instalar outros malwares, como ransomware. Esse uso é particularmente perigoso, pois pode resultar em dupla-extorsão.

Análise do Diamond Model

O Diamond Model é um framework de análise de ameaças que ajuda a entender o ciclo de vida de uma ameaça cibernética. No caso do QakBot, o malware é sofisticado, bem-sucedido e difícil de detectar e, além disso, o QaBot é capaz de se adaptar e evoluir para evitar a detecção.

  • Adversário: O QakBot tem suas origens, provavelmente, no leste europeu, possivelmente ligados a grupos de crime organizado. A motivação principal é o lucro, através do roubo de credenciais, dados financeiros e, também, a instalação de ransomware para extorsão. A evolução é constante, adaptando táticas e alvos conforme detecções e mudanças no cenário cibernético.
  • Infraestrutura: O QakBot operava, até a ação do FBI, usando uma botnet amplamente distribuída, com servidores de Comando e Controle (C2) em vários locais. Esses servidores mudavam, dificultando o rastreamento e o bloqueio. A comunicação pode ocorrer por meio de domínios legítimos sequestrados ou registrados. O gerenciamento de dados roubados e o planejamento de ataques ocorrem nessa rede.
  • Capacidade: Os operadores do QakBot utilizavam técnicas de evasão avançadas e explorando vulnerabilidades zero-day. Os operadores do Malware possuíam habilidades para desenvolver e implantar malwares e backdoors personalizados, além de operar a extensa infraestrutura de C2. Ademais, mostravam adaptabilidade, evoluindo constantemente seu modus operandi para se ocultar dos ativos de defesa e analistas de segurança.
  • Alvo: O QakBot atacavam alvos diversos. Com foco inicial em indivíduos e pequenas empresas, expandiu-se para grandes organizações e, até mesmo, setores estratégicos ligados a infraestruturas críticas, inclusive em hospitais e infraestruturas de governo. Setores financeiros e de saúde figuravam entre os mais visados. O alvo específico depende da rentabilidade potencial e da facilidade de exploração de vulnerabilidades.

Uso como Vetor de Ataque para Ransomware

O QakBot já foi correlacionado como vetor de ataque para ransomware, como, por exemplo, o Black Basta. O malware é útil para os grupos de ransomware devido sua habilidade de se infiltrar nas redes e sistemas, combinada com a capacidade de implantar payloads maliciosos. Quando o QakBot é usado para o payload do ransomware, o malware geralmente primeiro rouba dados confidenciais, como credenciais de login, dados financeiros e informações de contato. Em seguida, o malware usa esses dados para extorquir a vítima.

Táticas, Técnicas e Procedimentos (TTPs)

O QakBot usa uma variedade de TTPs para realizar seus ataques. Algumas das principais TTPs usadas pelo QakBot incluem:

  • Phishing: O QakBot é tipicamente disseminado por meio de campanhas de phishing que usam e-mails maliciosos com anexos ou links infectados.
  • Captura de teclas: O QakBot pode usar a captura de teclas para roubar credenciais de login e outras informações confidenciais.
  • Escanear de arquivos: O QakBot pode escanear arquivos para identificar senhas armazenadas e outras informações confidenciais.
  • Busca de senhas armazenadas: O QakBot pode buscar senhas armazenadas em navegadores e outros aplicativos.
  • Injeção de código: O QakBot pode usar a injeção de código para instalar outros malwares, como ransomware.

TTPs catalogadas no MITRE/ATT&CK ligadas ao QaBot

O QakBot usa uma variedade de TTPs que estão catalogadas no MITRE/ATT&CK. Algumas das principais TTPs usadas pelo QakBot que estão catalogadas no MITRE/ATT&CK incluem:

 

ID do MITRE/ATT&CK TTP
T1193 Initial Access: QakBot é tipicamente disseminado por meio de campanhas de phishing que usam e-mails maliciosos com anexos ou links infectados.
T1204.002 Execution: QakBot pode usar uma variedade de técnicas para executar, incluindo técnicas de evasão de segurança e técnicas de persistência.
T1053 Persistence: QakBot pode usar uma variedade de técnicas para se manter no sistema, incluindo técnicas de registro, técnicas de rootkit e técnicas de manipulação de processos.
T1082 Discovery: QakBot pode usar uma variedade de técnicas para descobrir informações sobre o sistema, incluindo técnicas de enumeração de processos, técnicas de enumeração de arquivos e técnicas de enumeração de redes.
T1078 Lateral Movement: QakBot pode usar uma variedade de técnicas para se mover lateralmente no sistema, incluindo técnicas de exploração de vulnerabilidades, técnicas de uso de credenciais roubadas e técnicas de uso de ferramentas de acesso remoto.
T1110 Collection: QakBot pode usar uma variedade de técnicas para coletar dados, incluindo técnicas de captura de teclas, técnicas de escaneamento de arquivos e técnicas de busca de senhas armazenadas.
T1041 Exfiltration: QakBot pode usar uma variedade de técnicas para exfiltrar dados, incluindo técnicas de uso de ferramentas de criptografia, técnicas de uso de ferramentas de compactação e técnicas de uso de ferramentas de anonimização.

Fonte: https://attack.mitre.org/matrices/enterprise/

Medidas Mitigadoras, de Prevenção e de Tratamento e Resposta

  • Segmentação de Rede:  Implemente uma arquitetura de rede segmentada para isolar sistemas críticos e limitar a propagação do QakBot.
  • Atualizações e Patches: Mantenha sistemas operacionais, aplicativos e software de segurança atualizados para mitigar as vulnerabilidades exploradas pelo QakBot.
  • Filtragem de Conteúdo: Utilize filtros de conteúdo para bloquear e-mails maliciosos e sites infectados, reduzindo assim o vetor de ataque inicial.
  • Restrições de Privacidade: Aplique políticas de privilégios mínimos para usuários e sistemas, limitando as oportunidades de movimentação lateral do QakBot.
  • Detecção e Resposta em Tempo Real: Implemente soluções de detecção e resposta em tempo real para identificar atividades suspeitas e responder rapidamente.
  • Treinamento e Conscientização: Eduque os usuários sobre os perigos do phishing e forneça treinamento regular para reconhecer e evitar e-mails maliciosos.
  • Ferramentas Antivírus e Antimalware: Utilize ferramentas de antivírus e antimalware atualizadas para detectar e remover o QakBot antes que possa causar danos.
  • Políticas de Uso: Estabeleça políticas claras de uso aceitável, reforçando a proibição de downloads não autorizados e comportamentos de alto risco.
  • Monitoramento de Rede: Realize monitoramento contínuo da rede para identificar padrões anômalos de tráfego associados ao QakBot.
  • Firewalls e Gateways de Segurança: Configure firewalls e gateways de segurança para bloquear tráfego malicioso e prevenir a comunicação do QakBot com servidores de comando e controle.
  • Plano de Incidentes: Desenvolva e teste um plano de incidentes que inclua procedimentos claros para lidar com ataques envolvendo o QakBot.
  • Contenção: Isole sistemas comprometidos imediatamente para evitar a propagação e limitar os danos.
  • Coleta de Indicadores de Comprometimento (IoCs): Identifique e colete IoCs para compartilhar com comunidades de segurança e melhorar a detecção em nível global.
  • Análise Forense: Se possível, providencia uma análise forense para entender o escopo do comprometimento e identificar possíveis pontos fracos na segurança.
  • Comunicação: Comunique-se proativamente com autoridades responsáveis por Proteção de Dados, crimes cibernéticos e coordenação de incidentes, terceirizados de segurança e outras partes interessadas, seguindo as normatização de divulgação apropriadas.

Conclusão

O QakBot ainda representa uma ameaça persistente e, mesmo com a operação desencadeada que desativou sua infraestrutura, pode vir a sofrer uma evolução. Com sua capacidade de se adaptar a novas circunstâncias e explorar vulnerabilidades emergentes, a comunidade de segurança cibernética deve permanecer vigilante para mitigar seus impactos.

Principais Referências

 

[TLP:CLEAR]

ARTIGOS RELACIONADOSMais do autor