El FBI ha encabezado, en estos últimos días, una operación internacional (junto a Europol y varias policías nacionales) conocida como Operation Duck Hunt (Caza de patos), con la que se ha logrado desmantelar Qakbot, una de las mayores y longevas botnets detectadas hasta la fecha.
Qakbot —también conocida como Qbot o Pinkslipbot— estaba presente en unas 700.000 máquinas de todo el mundo en el momento de su derribo y, que se supiera, había estado detrás de, al menos, a 40 ataques de ransomware contra empresas, entidades médicas e instituciones públicas en todo el mundo.
Se estima que estos ataques han causado daños por cientos de millones de dólares (sólo en los últimos 18 meses, las pérdidas superaron los 58 millones de dólares).
El modus operandi de los ciberdelincuentes consistía en implantar el malware Qakbot a través de tácticas de phishing (es decir, animando a la víctima a descargarlo a través de enlaces en e-mails de apariencia legítima) y, una vez que los sistemas estaban infectados con ese malware, lo usaban para 'inyectar' otro malware más especializado (normalmente ransomware).
Todas las computadoras infectadas se conectaban luego entre sí formando una red (botnet) cuyo control en algunos casos se vendía a otros ciberdelincuentes. Era entonces cuando los atacantes podían exigir rescates —en criptomonedas— sin que las víctimas se hubieran dado cuenta hasta ese momento de que sus equipos estaban infectados.
Así cayó Qakbot
El FBI desmanteló la botnet después de infiltrar ciertos elementos de su infraestructura: en su comunicado de prensa, destacaron que habían llegado a controlar el PC de uno de los administradores de Qakbot. En ese quipo, concretamente, los agentes encontraron archivos relacionados con la operación de la botnet…
…incluyendo comunicaciones entre los administradores y sus cómplices, así como una lista de víctimas de ransomware y de cuánto había pagado cada una a la trama (en un fichero amablemente titulado 'payments.txt'), así como registros de conversaciones con múltiples detalles sobre los ataques.
El pasado viernes por la noche, el FBI logró redirigir el tráfico de Qakbot a servidores controlados por la agencia estadounidense, lo que les permitió desplegar un desinstalador en dispositivos infectados de todo el mundo, liberando a dichos PCs de la presencia del malware de Qakbot y de la conexión a los mismos a través de la botnet, si bien no se pudo hacer nada para eliminar el resto de malware previamente inyectado a través de la misma.
Así, las fuerzas policiales no sólo han logrado derribar una botnet implicada en multitud de ataques de ransomware, sino que también ha permitido recuperar casi 9 millones de dólares en criptomonedas que ahora podrán devolverse a las víctimas que pagaron para recuperar el acceso a sus equipos.
Imagen | Marcos Merino mediante IA