Una operación internacional en la que han participado el FBI, Europol y autoridades judiciales y policiales de Francia, Alemania, Letonia, Países Bajos, Rumanía, Reino Unido y Estados Unidos ha permitido desarmar la infraestructura del software malicioso Qakbot, también conocido como QBot o Pinkslipbot, y su red de dispositivos infectados, que ha alcanzado a más de 700.000 ordenadores en todo el mundo.
El grupo de delincuentes que lo operaba lo utilizó para atacar infraestructuras y empresas críticas en varios países, distribuyó e instaló ransomware, robó datos financieros y credenciales de inicio de sesión y cometió diversos fraudes y delitos cibernéticos. Se calcula que este malware ha sido utilizado para recaudar al menos 54 millones de euros en rescates pagados por las víctimas y casi 8 millones de euros en criptomonedas.
La metodología utilizada era simple. La víctima recibía un correo electrónico con un archivo adjunto o un hipervínculo. Un texto engañoso la inducía a descargar el archivo imitando un proceso legítimo y Qakbot ejecutaba luego otros malwares, como troyanos bancarios, que robaban datos financieros, información personal, pulsaciones de teclas y credenciales. A su vez, el paso siguiente era instalar ransomware en el ordenador, con el que los delincuentes extorsionaban a los usuarios solicitando pagos en bitcoins a cambio de devolverles el acceso a sus redes informáticas.
Desde 2007, fecha en la que se registra su inicio de actividad, los especialistas han registrado una evolución en Qakbot, que comenzó infiltrándose en los ordenadores a través de emails, una vez instalado habilitó otras descargas malignas, como ransomware y, a su vez, cada equipo pasó a formar parte de una botnet, una red de computadoras comprometidas, controlada por los ciberdelincuentes, que en general, no tenía el consentimiento de las víctimas.
El fiscal general de EEUU, Merrick Garland, explicó que el Departamento de Justicia estadounidense hackeó la infraestructura de Qakbot y lanzó, además, una campaña para desinstalar el malware de los ordenadores de las víctimas en todo el mundo.
Qakbot funcionaba también como servicio
Las investigaciones revelaron que los delincuentes administradores de la botnet Qakbot proporcionaron acceso a las redes infectadas a varios grupos de ransomware a cambio del pago de una tarifa, y las utilizaron para llevar a cabo una gran cantidad de ataques de ransomware en infraestructuras y empresas críticas.
En los últimos años, se ha detectado el uso de Qakbot como medio inicial de infección por muchos grupos prolíficos de ransomware, entre ellos Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta.
“Estos grupos de ransomware han causado daños importantes a empresas, proveedores de atención médica y agencias gubernamentales de todo el mundo”, indica el comunicado del Departamento de Justicia.
Se calcula que, entre octubre de 2021 y abril de 2023, los administradores recibieron honorarios correspondientes a casi 54 millones de euros en concepto de rescates pagados por las víctimas.
Las autoridades detectaron servidores infectados con Qakbot en casi 30 países de Europa, América del Sur y del Norte, Asia y África, lo que permitió la actividad del malware a escala global, con el objetivo principal de robar datos financieros y credenciales de inicio de sesión de los navegadores web.