Esta semana, una operación global de aplicación de la ley logró desmantelar la notoria red de bots Qakbot, considerada como la mayor interrupción financiera y técnica liderada por Estados Unidos de una infraestructura de botnet. Qakbot es un troyano bancario que se hizo famoso por proporcionar un punto de apoyo inicial en la red de una víctima para que otros hackers compren acceso y entreguen su propio malware, como el ransomware. Funcionarios de Estados Unidos afirmaron que Qakbot ha facilitado más de 40 ataques de ransomware en los últimos 18 meses, generando $58 millones en pagos de rescate. La operación de aplicación de la ley, denominada «Operación Duck Hunt», vio al FBI y sus socios internacionales apoderarse de la infraestructura de Qakbot ubicada en Estados Unidos y Europa. El Departamento de Justicia de Estados Unidos, que dirigió la operación junto con el FBI, también anunció la incautación de más de $8.6 millones en criptomonedas de la organización cibercriminal de Qakbot, que pronto estará disponible para las víctimas. En el anuncio del martes, el FBI declaró que llevó a cabo una operación que redirigió el tráfico de la red de la botnet a servidores bajo el control del gobierno de Estados Unidos, lo que permitió a las autoridades tomar el control de la botnet. Con este acceso, el FBI utilizó la botnet para instruir a las máquinas infectadas por Qakbot en todo el mundo a descargar un desinstalador construido por el FBI que desvinculó la computadora de la víctima de la botnet, evitando la instalación de malware adicional a través de Qakbot. El FBI llevó a cabo con éxito la Operación Duck Hunt para desmantelar la botnet Qakbot, que había infectado aproximadamente 700,000 dispositivos, incluyendo más de 200,000 en Estados Unidos. La operación implicó la identificación y acceso a los servidores de la botnet, así como la producción secreta de copias de estos servidores para evitar alertar a los administradores de Qakbot. El FBI pudo descifrar los comandos cifrados de Qakbot y reemplazó el módulo de supernodo de las computadoras infectadas, bloqueando a los administradores de su propia infraestructura. Esta acción puso fin a la influencia de Qakbot, que había facilitado más de 40 ataques de ransomware en los últimos 18 meses, generando $58 millones en pagos de rescate. La operación permitió desconectar a millones de víctimas de Qakbot y recuperar criptomonedas robadas por los cibercriminales. El FBI inició una operación estratégica que implicaba el intercambio, reemplazo y desinstalación del malware Qakbot. Comenzando el 25 de agosto a las 7:27 p.m. en Washington, DC, el FBI redirigió las computadoras infectadas por Qakbot de Tier 1 para que se comunicaran con servidores controlados por el FBI en lugar de los servidores de Tier 2 de Qakbot. Estas computadoras redirigidas luego fueron instruidas a descargar un desinstalador que eliminaba por completo el malware Qakbot, aunque no abordaba ningún malware entregado previamente. El FBI aseguró que su servidor no capturaría contenido de las computadoras infectadas, excepto las direcciones IP e información de enrutamiento para contactar a las víctimas de Qakbot, eliminando eficazmente el código malicioso de Qakbot de los dispositivos de las víctimas. Esta operación es la más reciente de una serie de acciones del FBI en los últimos años, que incluyen la eliminación de puertas traseras de hackers chinos en servidores de correo electrónico de Microsoft Exchange en 2021, la interrupción de un botnet ruso utilizado para ciberataques en 2022 y el derribo de otro botnet ruso que data de 2004 a principios de este año.
