Qakbot, una de las botnets más grandes conocidas hasta la fecha, ha sido desmantelada tras una operación multinacional liderada por el FBI. Conocida como Operación “Duck Hunt” (Operación Caza del Pato), la acción ha tenido lugar en Estados Unidos, Francia, Alemania, Países Bajos, Rumanía, Letonia y Reino Unido. El FBI ha conseguido neutralizar esta red de ordenadores, también conocida como Qbot.
Una botnet es una red de ordenadores infectados. Una infraestructura formada por un conjunto de ordenadores o dispositivos informáticos comprometidos, que están bajo el control de un atacante, los cuales se convierten en “bots” a su servicio. Para que se produzca la infección, el usuario del dispositivo ha tenido que ejecutar un archivo malicioso o malware. La botnet se utiliza para perpetrar ataques informáticos, usando la capacidad y potencia de todos los dispositivos que conforman la infraestructura, los cuales pueden ser desde unos pocos hasta cientos de miles, como este caso.
La botnet Qakbot está vinculada con al menos 40 ataques de ransomware a diferentes compañías, así como proveedores de servicios de salud y agencias gubernamentales por todo el mundo, a quienes ha causado graves perjuicios.
Christopher Wray, director del FBI, ha declarado que “esta botnet proveía a los cibercriminales una infraestructura de comando y control que consistía en cientos de miles de ordenadores, que eran usados para llevar a cabo ataques contra usuarios y empresas por todo el mundo”.
Desde su creación, ha sido usado en ataques de ransomware y otros ciberataques que han causado «cientos de millones de dólares en pérdidas», según el comunicado.
Así infectaba y funcionaba la botnet Qakbot
El malware Qakbot infectaba los ordenadores de las víctimas a través de correos electrónicos y spam que contenían enlaces o archivos adjuntos maliciosos.
Tras la descarga o ejecución del link, Qakbot implementaba malware adicional, incluyendo ransomware, en el ordenador de la víctima. El dispositivo además se convertía en marte de una botnet, la red de ordenadores comprometidos. De esta manera, podían ser controlados de manera remota por los usuarios de la botnet. Mientras tanto, las víctimas de Qakbot no tenían constancia de que esto estaba ocurriendo.
Desde la creación en 2008 de esta botnet, a lo largo de los años, ha servido como vector de ataque para grupos de cibercrimen y sus afiliados, incluyendo REvil, Conti, ProLock o BlackBasta.
El FBI ha logrado desmantelar la botnet tras conseguir infiltrarse en parte de la infraestructura,incluyendo uno de los ordenadores usados por un administrador de la misma.
En ese dispositivo, los agentes encontraron archivos vinculados a la operativa de la botnet.
Una vez que el FBI ha logrado acceso al servidor, implementó un desinstalador del malware de los ordenadores infectados, que fue ejecutado en todos ellos. Las víctimas no han recibido notificación cuando se realizó dicha ejecución del desinstalador, pero sí les ha notificado usando la dirección IP.
En cualquier caso, los usuarios pueden verificar si su dispositivo ha estado infectado en los sitios web de Have I Been Pwned y el Dutch National Police.
