Una operación del gobierno de EE. UU. ha desmantelado la infraestructura del notorio malware Qakbot, que según los funcionarios causó “cientos de millones” de dólares en daños en todo el mundo.
En un anuncio el martes, el FBI dijo que había «interrumpido y desmantelado» con éxito el malware Qakbot y que había identificado más de 700.000 computadoras infectadas en todo el mundo, incluidas más de 200.000 en los Estados Unidos.
El Departamento de Justicia también anunció la incautación de más de 8,6 millones de dólares en criptomonedas de la organización cibercriminal Qakbot, que ahora estarán disponibles para las víctimas.
La operación, que se llevó a cabo en asociación con organismos encargados de hacer cumplir la ley en Francia, Alemania, los Países Bajos, Rumania, Letonia y el Reino Unido, se describe como la mayor interrupción financiera y técnica liderada por Estados Unidos de una infraestructura de botnet aprovechada por los ciberdelincuentes para cometer delitos. ransomware, fraude financiero y otras actividades delictivas cibernéticas.
Para desmantelar la botnet, el FBI obtuvo acceso legal a la infraestructura de Qakbot y redirigió el tráfico de Qakbot a servidores controlados por el FBI, que indicaban a las computadoras infectadas que descargaran un archivo de desinstalación. Este desinstalador fue creado por las fuerzas del orden para desconectar las computadoras de las víctimas de la botnet Qakbot, evitando una mayor instalación de malware a través de Qakbot.
Durante esta operación, denominada “Operación Caza de Patos”, el FBI dijo que recuperó las credenciales robadas (incluidas direcciones de correo electrónico y contraseñas) de más de 6,5 millones de víctimas, y agregó que sus socios internacionales identificaron “millones más”.
El FBI también anunció la incautación de 52 servidores, que según dijo «desmantelarían permanentemente» la botnet.
Qakbot, también conocido como “QBot” y “QuakBot”, se detectó por primera vez en 2008, lo que la convierte en una de las botnets de mayor duración. El malware, que surgió por primera vez como un troyano bancario, infecta dispositivos principalmente a través de correos electrónicos de phishing que contienen enlaces o archivos adjuntos maliciosos. Una vez que un objetivo toca el enlace o descarga el archivo adjunto, Qakbot implementaría malware adicional en su computadora para formar parte de una red de botnet que podría controlarse de forma remota.
En los últimos años, Qakbot se ha convertido en la botnet elegida por algunas de las bandas de ransomware más infames, incluidas Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta.
Estas bandas de ransomware recibieron aproximadamente 58 millones de dólares en pagos de rescate solo en los últimos 18 meses, según el FBI, y en conjunto acumularon más de 40 víctimas, incluidos proveedores de atención médica y agencias gubernamentales.
Según el anuncio de hoy, entre estas víctimas se incluyen una empresa de ingeniería energética con sede en Illinois; organizaciones de servicios financieros con sede en Alabama, Kansas y Maryland; un fabricante de defensa con sede en Maryland; y una empresa de distribución de alimentos en el sur de California.
El programa de Recompensas por la Justicia del Departamento de Estado de EE.UU. ha anunciado recompensas de hasta 10 millones de dólares por información que conduzca a la identificación de los operadores de Qakbot.
Lea más en TechCrunch: