Qakbot gelieerde actoren verspreiden Ransom Knight-malware

De bedreigingsactoren achter de Qakbot-malware voeren sinds begin augustus 2023 een campagne waarin ze de Ransom Knight-ransomware en de Remcos-achterdeur via phishing-e-mails verspreiden.

Deze activiteit leek met name te zijn begonnen voordat de FBI eind augustus de Qakbot-infrastructuur in beslag nam en is sindsdien aan de gang, wat aangeeft dat de wetshandhavingsoperatie mogelijk geen invloed heeft gehad op de infrastructuur voor het afleveren van spam van Qakbot-operators, maar eerder alleen op hun command and control (C2)-servers.

Talos schreef deze nieuwe campagne toe aan Qakbot-filialen, omdat de metadata gevonden in LNK-bestanden die in deze campagne worden gebruikt, overeenkomt met de metadata van machines die werden gebruikt in eerdere Qakbot-campagnes “AA” en “BB.”

Cisco Talos meldt in een blog: "Hoewel we niet hebben gezien dat de bedreigingsactoren Qakbot zelf verspreiden na de verwijdering van de infrastructuur, zijn we van mening dat de malware ook in de toekomst een aanzienlijke bedreiging zal blijven vormen. We zien dit net zo waarschijnlijk omdat de ontwikkelaars niet zijn gearresteerd en nog steeds operationeel zijn, wat de mogelijkheid opent dat ze ervoor kunnen kiezen om de Qakbot-infrastructuur opnieuw op te bouwen."

Lees meer hier.