Un estudio realizado por el proveedor de soluciones de riesgo Kroll ha identificado una creciente tendencia en el uso del troyano Qakbot, o Qbot, para lanzar campañas de hijacking en hilos de correo electrónico para desplegar ataques de ransomware.

De acuerdo con los hallazgos en conjunto con analistas de la Alianza Nacional de Ciber-Forense y Capacitación, los ciberdelincuentes buscan robar datos financieros de múltiples industrias, como los medios de comunicación, la educación y el ámbito académico. Sin embargo, la pandemia del COVID-19 también ha ayudado a los ataques a atacar al sector de la salud.

El troyano estaría siendo utilizado como un "punto de entrada" por los operadores detrás de la pandilla de ransomware ProLock. El informe sugiere que las víctimas son objetivos fáciles debido a las sofisticadas estructuras de phishing establecidas por los delincuentes.

Métodos de ataque utilizados por el troyano Qakbot

Qakbot es un troyano bancario que ha estado activo durante más de una década, dice Kroll, y confía en el uso de keyloggers, capturadores de cookies de autenticación, ataques de fuerza bruta y robo de credenciales de cuentas de Windows, entre otras técnicas.

Una de las autoras de la investigación, Laurie Iacono, vicepresidenta del equipo de riesgo cibernético de Kroll, explicó a Cointelegraph las siguientes razones por las cuales los cibercriminales dependen de troyanos como Qakbot para lanzar ataques de ransomware:

“La razón principal es maximizar sus ganancias. En los últimos 18 meses, Kroll ha observado múltiples casos en los que una infección troyana es el primer paso de un ataque de múltiples fases: los hackers infectan un sistema, encuentran la forma de escalar privilegios, realizar reconocimientos, robar credenciales (y a veces datos confidenciales), y luego lanzar un ataque de ransomware desde un nivel de acceso donde puede causar el mayor daño. Pueden ganar dinero con el pago del rescate y potencialmente con la venta de datos y credenciales robados, además de que los datos robados ayudan a obligar a las empresas infectadas a pagar el rescate".

El coautor de la investigación y vicepresidente del departamento de riesgo cibernético de Kroll, Cole Manaster, aclaró a Cointelegraph que el aumento de los ataques de hijacking en hilos como los desplegados por Qakbot muestra una evolución. Agregó lo siguiente:

"Los delincuentes son conscientes de la creciente capacitación en seguridad cibernética entre los usuarios de correo electrónico y están produciendo señuelos de phishing más sofisticados y de aspecto auténtico".

La crisis de COVID-19 aumenta el nivel de amenaza en los delitos cibernéticos

Por otro lado, Iacono dijo que el uso de troyanos por parte de pandillas de ransomware no es infrecuente y da un ejemplo de los ataques de Ryuk que están precedidos por la instalación del troyano Emotet, y los ataques de DoppelPaymer precedidos por inyecciones de Trickbot.

Advirtió que, con más trabajadores en el hogar debido a la crisis de COVID-19, ven "un aumento en los ataques que explotan vulnerabilidades en aplicaciones de trabajo remotas como el exploit Citrix".

Cointelegraph informó el 17 de mayo que la pandilla ProLock confía en el troyano bancario Qakbot para lanzar el ataque y pide a los objetivos rescates en dólares de seis cifras pagados en Bitcoin (BTC) para descifrar los archivos.

Sigue leyendo: