La operación multinacional del FBI y el departamento de Justicia, este 29 de agosto, marca una de las acciones más grandes lideradas por Estados Unidos para interrumpir un malware contra una botnet conocida como Qakbot.
La reciente operación, desarrollada en países como Estados Unidos, Francia, Alemania, Países Bajos, Rumania, Letonia y el Reino Unido, marca uno de los más significativos desmantelamientos liderados por los Estados Unidos dirigidos contra una infraestructura de botnet empleada por ciberdelincuentes para llevar a cabo actividades ilícitas en línea, como el ransomware y el fraude financiero.
"El FBI neutralizó esta cadena de suministro criminal de gran alcance, cortándola por completo", dijo el, Christopher Wray, Director del FBI. "Las víctimas iban desde instituciones financieras en la costa este hasta un contratista gubernamental de infraestructura crítica en el Medio Oeste y un fabricante de dispositivos médicos en la costa oeste".
Cómo funcionaba el malware
Qakbot, el software malicioso, solía infiltrarse en los equipos de las víctimas principalmente mediante el envío de correos electrónicos no solicitados que contenían archivos adjuntos o enlaces engañosos.
Una vez que un usuario descargaba o hacía clic en dicho contenido, Qakbot introducía en la computadora malware adicional, incluido ransomware. La máquina afectada también se incorporaba a una botnet (una red de computadoras comprometidas), permitiendo a los operadores de la botnet controlarla de manera remota. Curiosamente, quienes caían víctimas de Qakbot por lo general desconocían por completo que su sistema había sido comprometido.
Desde su inicio en 2008, el malware Qakbot ha sido empleado en ofensivas de ransomware y otras transgresiones cibernéticas que han resultado en pérdidas que ascienden a cientos de millones de dólares para individuos y empresas tanto en Estados Unidos como en el extranjero.
"Esta botnet proporcionó a ciberdelincuentes como estos una infraestructura de comando y control que consta de cientos de miles de computadoras utilizadas para llevar a cabo ataques contra individuos y empresas en todo el mundo", dijo Wray.
Interrumpir el Duck
Como parte de la operación, el FBI adquirió acceso legal a la infraestructura de Qakbot y logró identificar más de 700.000 computadoras comprometidas en diversas partes del mundo, con más de 200.000 de ellas localizadas en Estados Unidos.
Con el objetivo de interrumpir la botnet, el FBI dirigió el flujo de tráfico de Qakbot hacia servidores supervisados por la agencia. Estos servidores transmitieron indicaciones a las computadoras comprometidas, instándolas a descargar un archivo de desinstalación. Este programa desinstalador fue diseñado para erradicar el malware Qakbot, liberando así a las máquinas infectadas de la influencia de la botnet y previniendo cualquier intento de implantación de software malicioso adicional.
"Todo esto fue posible gracias al trabajo dedicado del FBI Los Ángeles, nuestra División Cibernética en la sede del FBI y nuestros socios, tanto aquí como en el extranjero", dijo Wray. "La amenaza cibernética que enfrenta nuestra nación es cada día más peligrosa y compleja. Pero nuestro éxito demuestra que nuestra propia red y nuestras propias capacidades son más poderosas".
Fuente del video: https://www.fbi.gov/news/stories/fbi-partners-dismantle-qakbot-infrastructure-in-multinational-cyber-takedown
