La operación internacional "Duck Hunt", liderada por el FBI y el Departamento de Justicia, desmanteló la red de bots Qakbot y confiscó cerca de 9 millones de dólares en criptomonedas a los operadores de la red de bots.
Según los documentos judiciales, al menos desde 2008, Qakbot, también conocido como "Qbot" y "Pinkslipbot", permitía a los delincuentes obtener acceso no autorizado a las redes de las víctimas. A continuación, los ciberdelincuentes lo utilizaban para distribuir malware adicional, incluido ransomware, o para lanzar otras formas de ataque.
Los grupos de ransomware más prolíficos, como Conti, ProLock, Egregor, REvil, MegaCortex y Black Basta, han utilizado Qakbot para obtener acceso inicial a las redes de sus víctimas.
Los investigadores determinaron que los grupos de ransomware enviaban a los administradores de Qakbot un porcentaje de los pagos de rescates que recibían tras ejecutar los ataques.
El acceso a la infraestructura de Qakbot permitió a los investigadores acceder a archivos relacionados con el funcionamiento de la botnet. Uno de los archivos, llamado "payments.txt", incluía detalles de los ataques de ransomware, como el nombre de la víctima, el atacante del ransomware y la cantidad en bitcoins que los administradores de Qakbot recibían como pago.
Los investigadores también encontraron una lista de direcciones bitcoin en otro archivo llamado "license.txt". El análisis de la cadena de bloques reveló que las direcciones habían recibido bitcoin de direcciones que habían recibido pagos por el rescate.
Los investigadores establecieron que entre octubre de 2021 y abril de 2023, los administradores de Qakbot recibieron comisiones que se cree que se originaron en aproximadamente 58 millones de dólares en pagos de rescates.
Los investigadores tomaron el control de la infraestructura de Qakbot el 25 de agosto de 2023. A continuación, redirigieron el tráfico de Qakbot a través de servidores controlados por el FBI. A continuación, los servidores indicaron a los dispositivos afectados que descargaran un programa de desinstalación que eliminaba el malware Qakbot.
En total, los investigadores identificaron 700.000 ordenadores en todo el mundo, incluidos más de 200.000 en Estados Unidos, infectados con Qakbot.
Además de desinstalar el malware de los ordenadores de las víctimas, los investigadores incautaron 8,6 millones de dólares en criptomonedas a los administradores de Qakbot.
