A medida que el malware sigue evolucionando y los adversarios se vuelven más hábiles para eludir la detección, la IA dinámica y las tecnologías de aprendizaje automático son fundamentales para la detección de las últimas amenazas y ataques.
Sophos NDR utiliza una serie de modelos de aprendizaje automático que se reentrenan periódicamente para tener en cuenta la evolución de las familias de programas maliciosos. Este enfoque permite a Sophos NDR identificar nuevas variantes de malware que operan de forma encubierta en las profundidades de la red, incluso dentro del tráfico cifrado, y que pueden estar intentando hacer llamadas a servidores de mando y control no identificados anteriormente.
Recientemente, las actualizaciones de Sophos NDR, detectaron dos nuevos servidores QakBot que aún no habían sido identificados públicamente. Estos servidores estaban siendo utilizados por ciberdelincuentes para gestionar y controlar infecciones de QakBot, un troyano bancario que lleva activo desde 2008 y que se dirige principalmente a instituciones financieras y a sus clientes.
La detección de estos nuevos servidores QakBot pone de relieve la amenaza continua que suponen los troyanos bancarios y la necesidad de disponer de capacidades avanzadas de detección y respuesta a las amenazas. La detección de los servidores QakBot por Sophos NDR mediante la tecnología de análisis de paquetes cifrados demuestra la importancia de analizar el tráfico cifrado para identificar amenazas avanzadas.
La tecnología de análisis de paquetes cifrados (EPA) de Sophos NDR permite detectar amenazas potenciales sin depender del contenido descifrado. En la tabla siguiente, puedes ver los detalles de los dos servidores QakBot recién descubiertos, incluida la confianza del modelo EPA, la familia de malware detectada, los riesgos del flujo y la información TLS.
Detección | IP | Puerto | Confianza del modelo EPA | Familia de malware | Riesgos de flujo | Info TLS | Virus Total | Otros |
---|---|---|---|---|---|---|---|---|
QakBot C2 Server | 142.118.95.50 | 2222 | 99.014% | QakBot, Qbot, Quakbot | KNOWN_PROTOCOL_ON_NON_STANDARD_PORT TLS_NOT_CARRYING_HTTPS TLS_MISSING_SNI |
TLS version 1.2 Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 JA3C: 72a589da586844d7f0818ce684948eea JA3S: fd4bc6cea4877646ccd62f0792ec0b62 JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21 |
https://www.virustotal.com/gui/ip-address/142.118.95.50/community | Unpopular Destination |
QakBot C2 Server | 173.18.122.24 | 443 | 98.509% | QakBot, Qbot, Quakbot | TLS_NOT_CARRYING_HTTPS TLS_MISSING_SNI |
TLS version 1.2 Cipher: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 JA3C: 72a589da586844d7f0818ce684948eea JA3S: fd4bc6cea4877646ccd62f0792ec0b62 JARM: 21d14d00021d21d21c42d43d0000007abc6200da92c2a1b69c0a56366cbe21 |
https://www.virustotal.com/gui/ip-address/173.18.122.24/community | Unpopular Destination |
Ha habido varios grupos de ciberdelincuentes que han sido asociados con el uso de QakBot en el pasado. Algunos de los grupos más notables son:
- Evil Corp: este grupo ruso de ciberdelincuentes es conocido por desplegar varios troyanos bancarios, incluido QakBot. Se les ha relacionado con varios ataques de alto perfil a instituciones financieras, con el objetivo principal de robar grandes sumas de dinero.
- TA505: se cree que este grupo tiene su base en Europa del Este y es conocido por realizar campañas de phishing a gran escala para distribuir QakBot y otros programas maliciosos. También se les asocia con el troyano bancario Dridex y el ransomware Locky.
- FIN7: este grupo es conocido por dirigirse a los sectores de la hostelería, la restauración y el comercio minorista utilizando correos electrónicos de phishing y desplegando QakBot y otros programas maliciosos para robar datos de tarjetas de pago. También se les ha relacionado con los programas maliciosos Carbanak y Cobalt Strike.
El modelo EPA de Sophos NDR convierte los flujos de paquetes en imágenes y utiliza una red neuronal para determinar si la imagen coincide con el aspecto que esperamos que tenga QakBot. Para quienes estén interesados en saber qué aspecto tiene esa imagen, las he incluido aquí.
Para obtener más información sobre el producto Sophos NDR, consulta Sophos NDR Explained.