Investigadores de seguridad han detectado una nueva ola de propagación de Qbot que, en sus intentos de robar información, es "más difícil de detectar e interceptar". Se trata de un gusano con capacidades de backdoor diseñado para recolectar credenciales de los sistemas que infecta, los cuales en la mayoría de los casos se convierten en parte de una botnet.
Según un detallado reporte de BAE systems, el malware ya infectó a más de 54 mil computadoras en miles de organizaciones. Las soluciones de seguridad de ESET detectan a esta amenaza como Win32/Qbot y Win32/Kryptik.
Se han hecho varias actualizaciones al Qbot original, incluyendo un código "polimórfico y que cambia de forma", que lo hace más difícil de detectar. Como señala IT Pro, el malware también puede detectar si está siendo observado en un sandbox, una herramienta usada por investigadores para detectar amenazas antes de que puedan causar daño a los usuarios.
Un equipo de respuesta a incidentes de la compañía descubrió la nueva versión a principios de 2016, cuando 500 computadoras pertenecientes a organizaciones del sector público (cuyos nombres no fueron revelados) se infectaron. Los cibercriminales apuntaron específicamente a organizaciones públicas como departamentos de policía, hospitales y universidades.
Pero a pesar de la potencia de esta nueva versión, no era compatible con versiones antiguas de Windows, por lo que varias computadoras que todavía usan Windows XP dieron la señal de que algo extraño estaba ocurriendo, y sirvieron para encontrar a Qbot. Dentro de la red en cuestión, los investigadores se encontraron con una botnet conformada por 54.517 máquinas, el 85% de ellas ubicadas en los Estados Unidos.
Adrian Nish, jefe de Inteligencia en BAE Systems, explicó:
Muchas organizaciones del sector público son responsables de operar infraestructura y servicios críticos, a menudo con presupuestos limitados, volviéndose un blanco principal de ataques.
En esta instancia, los criminales tropezaron porque unas pocas computadoras desactualizadas estaban haciendo que el código malicioso las colapsara, en vez de infectarlas. Fue esta serie de interrupciones que alertó a la organización sobre el problema que se estaba propagando.
Dado que Qbot se seguirá propagando, se recomienda a las empresas actualizar sus sistemas y gestionar la seguridad en forma integral para cerrar la puerta a posibles ataques.