Gruppen bakom botnätet Qakbot, som genom åren förorsakat skador för miljardbelopp, fortsätter med sin verksamhet trots en uppmärksammad global polisinsats tidigare i år.
Det visar ny forskning från Cisco Talos.
När en global insats av amerikanska FBI i samarbete med Europol i augusti 2023 lyckades stänga ner det kriminella nätverket bakom en uppmärksammad serie ransomware-attacker blev det en världsnyhet och beskrevs som en stor framgång i kampen mot cyberbrottsligheten.
Botnätet Qakbot har varit i omlopp ända sedan 2007. Programvaran beräknas ha infekterat fler än 700 000 datorer världen över och förorsakat skador för miljardbelopp hos de verksamheter som utsatts, bedömde USA:s justitiedepartement i samband med att nedstängningen offentliggjordes. I samband med aktionen beslagtog rättsvårdande myndigheter också kryptovaluta till ett värde av 8,6 miljoner dollar.
Men det är möjligt att världen inte sett det sista av Qakbot. Cisco Talos, som är Ciscos avdelning för cyberhotsforskning, har nu spårat metadata från nya ransomware-attacker som kan kopplas till den kriminella gruppen.
”Vi ser det som sannolikt att utvecklarna fortfarande är aktiva eftersom de inte greps, vilket öppnar för möjligheten att de kan välja att bygga upp Qakbot-infrastrukturen på nytt”, skriver Guilherme Venere, säkerhetsforskare på Cisco Talos, i ett blogginlägg.
Den nya attackvågen använder nätfiske för att lura användare att öppna Excelfiler och länkar som uppges innehålla viktig finansiell information. I själva verket installerar ett ransomware-program och en bakdörr, vilket innebär att angriparen kan fortsätta ha tillgång till datorn även om offret betalar för att låsa upp den.
”Aktiviteten verkar ha börjat innan FBI tog kontroll över Qakbot-infrastrukturen i slutet av augusti, och har fortsatt efter det, vilket tyder på att aktionen inte stoppat Qakbot-operatörernas infrastruktur för att skicka skräppost, utan bara deras kontrollservrar”, skriver Guilherme Venere.
Att använda metadata i länkfiler för att knyta specifika grupper till cyberbrott är en ny metod för att underlätta utredningsarbete, som först presenterades av Cisco Talos i januari i år.