Los investigadores estadounidenses dicen que han asestado un duro golpe al flagelo del ransomware al derribar una notoria botnet conocida como Qakbot.
El martes, el Departamento de Justicia y el FBI anunciaron que habían desmantelado Qakbot obteniendo una orden de registro para esencialmente secuestrar los servidores que controlaban la botnet. Luego, los agentes federales obligaron a la botnet a hacer circular un desinstalador en miles de computadoras infectadas con Qakbot, eliminando el programa malicioso.
Durante su investigación, los agentes federales descubrieron que Qakbot controlaba 700.000 ordenadores infectados, de los cuales unos 200.000 estaban basados en Estados Unidos.
Qakbot, también conocido como Qbot, comenzó como un troyano basado en Windows diseñado para robar el acceso a la información de las cuentas bancarias de los usuarios cuando fue detectado por primera vez alrededor de 2008. Por lo general, puede propagarse a través de archivos adjuntos maliciosos en correos electrónicos de phishing.
Además, el malware también fue diseñado para formar una botnet, o un ejército de computadoras infectadas, capaces de recibir comandos de servidores controlados por piratas informáticos. Como resultado, los creadores de Qakbot pudieron vender el acceso a sus ordenadores infectados a otros grupos de ciberdelincuentes.
Los grupos de ciberdelincuentes podrían robar datos de los ordenadores infectados o lanzarles ransomware. Investigadores estadounidenses e investigadores de seguridad han vinculado a Qakbot con varias bandas de ransomware, incluidas Conti, Black Basta, Royal, Revil y Lockbit, entre otras. A cambio, los operadores desconocidos de Qakbot obtuvieron tarifas vinculadas a alrededor de 58 millones de dólares en rescates pagados por las víctimas. Mientras tanto, las pérdidas totales de víctimas por las actividades de la botnet probablemente asciendan a cientos de millones de dólares.
«Qakbot era la botnet elegida por algunas de las bandas de ransomware más infames, pero ahora la hemos eliminado», dijo el fiscal federal Martin Estrada en el anuncio.
Hasta ahora, Estados Unidos no ha ofrecido detalles sobre cómo secuestró y neutralizó Qakbot. Pero en una declaración, el Departamento de Justicia señaló: “El FBI pudo redirigir el tráfico de la botnet Qakbot hacia y a través de servidores controlados por el FBI, que a su vez ordenó a las computadoras infectadas en los Estados Unidos y otros lugares que descargaran un archivo creado por las fuerzas del orden que desinstalaría el malware Qakbot”.
Recomendado por nuestros editores
Durante el derribo, los agentes federales también confiscaron 8,6 millones de dólares del grupo Qakbot, que se redistribuirán entre las víctimas del ransomware. El Departamento de Justicia añadió que la orden de registro que utilizó para desmantelar la botnet sólo permitió al FBI eliminar el malware Qakbot de las computadoras infectadas, no realizar ninguna otra acción.
Los funcionarios federales no dijeron si han identificado a las personas que dirigían Qakbot. Sólo señalarían que la investigación sigue en curso. Sin embargo, Estados Unidos no espera que la botnet regrese pronto. Con la ayuda de las fuerzas del orden en Europa, los agentes federales también se apoderaron de 52 servidores para evitar que Qakbot resucitara.
También se descubrieron otros 6,5 millones de credenciales de inicio de sesión robadas a las víctimas. «El FBI se ha asociado con la Agencia de Seguridad de Infraestructura y Ciberseguridad, Shadowserver, la Unidad de Delitos Digitales de Microsoft, la Alianza Nacional de Capacitación y Ciberseguridad Forense y Have I Been Pwned para ayudar en la notificación y remediación de las víctimas», agregó la agencia.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de seguridad boletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.