FBI lidera el cierre de Qakbot y se incauta de millones en Bitcoin

A finales de agosto, el FBI, en colaboración con las fuerzas del orden de todo el mundo, anunció la desarticulación proactiva de la red de bots Qakbot . Según el comunicado de prensa DOJ , "el código malicioso Qakbot está siendo eliminado de los ordenadores de las víctimas, lo que impide que siga causando daños". El Departamento también anunció la incautación de aproximadamente 8,6 millones de dólares en criptomoneda en ganancias ilícitas."

Utilizando técnicas de investigación tradicionales, así como el rastreo de blockchain, el FBI y sus socios fueron capaces de identificar, rastrear e incautar más de 8.600.000 dólares en bitcoin. 

Qakbot fondo

Qakbot, también conocido como Qbot y Pinkslipbot, es una sofisticada variante de malware y red de bots utilizada desde 2008 para fomentar la actividad ciberdelictiva, incluido el ransomware y la filtración de datos de las víctimas, y se propagaba principalmente a través de campañas de phishing por correo electrónico. En pocas palabras, varios grupos delictivos afiliados utilizan la red de bots para infectar los ordenadores de las víctimas y, a continuación, exigen el pago de "rescates" extorsivos para eliminar la red de bots de los ordenadores de las víctimas. 

Según el jefe de sección de la división cibernética FBI , Bryan Smith, muchos de los grupos de ransomware más destacados, como Conti, ProLock, Egregor, REvil, Black Basta y otros, utilizaban Qakbot para extorsionar a las víctimas de ransomware . "Al igual que otras variantes de malware, Qakbot se convirtió en un intermediario de acceso inicial para otros ciberdelincuentes. No puedo enfatizar lo suficiente cómo los intermediarios de acceso inicial son clave para el ecosistema cibercriminal y cómo el verdadero impacto de una botnet proviene de cómo se utiliza."

El FBI lleva investigando el malware y la red de bots Qakbot en sus diversas formas desde 2011. La investigación reveló su infraestructura y que los ordenadores de las víctimas estaban repartidos por todo el mundo. Las cifras exactas variaron con el tiempo, pero en 2023 había aproximadamente 700.000 víctimas de Qakbot en todo el mundo, con más de 200.000 infecciones en Estados Unidos. Se calcula que el número total de infecciones a lo largo de la vida de Qakbot fue de millones.

El jefe de sección Bryan Smith, cuyo programa supervisó la investigación sobre la criptomoneda, estimó que, en total, el despliegue de la red de bots Qakbot provocó pérdidas por valor de cientos de millones de dólares a víctimas de todo el mundo. Los afiliados pagan a su vez una comisión, generalmente entre el 10 y el 20 por ciento del pago del rescate, a los administradores de Qakbot . 

Como se detalla en la declaración jurada de la orden de incautación, los agentes fueron capaces de rastrear los ingresos del ransomware desde los afiliados a los administradores de Qakbot y luego incautar los ingresos de los administradores. Por ejemplo, la declaración jurada describe más de 44 pagos de extorsión en bitcoins procedentes del grupo de ransomware Black Basta a los administradores de Qakbot . Los investigadores pudieron obtener chats internos del equipo de Qakbot que mostraban que el pago de 44,066491 a "Subject Address 1" era un pago proporcional procedente de Black Basta.

‍

‍

Del mismo modo, la declaración jurada describía "Subject Address 2" como una comisión del 10 por ciento relacionada con el premio de extorsión de un afiliado de ransomware .

‍

‍

El jefe de sección Smith se explayó sobre el uso del rastreo de blockchain y la utilización de herramientas para seguir el rastro del dinero:

"En el caso de las criptomonedas, existen algunas dificultades debido a la naturaleza anónima de las transacciones y a la velocidad a la que se puede mover el valor, pero también hay beneficios de investigación al tener una blockchain abierta que proporciona una huella digital permanente que podemos analizar y conectar con otra actividad". El FBI se dio cuenta en 2013 de que la criptomoneda no iba a desaparecer. Así que pusimos en marcha nuestro primer equipo de moneda virtual para rastrear criptomoneda, crear capacidad y conciencia en todo el FBI, y proporcionar formación a nuestros empleados y socios. Ese trabajo se amplió a lo largo de los años y hemos visto cómo la criptodivisa ha pasado de ser un nicho de mercado utilizado por ciberdelincuentes y facilitadores del blanqueo de capitales a tener algún papel en prácticamente todas las infracciones de las que es responsable el FBI ."

‍
‍Elderribo

El 25 de agosto de 2023, el FBI y sus socios internacionales llevaron a cabo acciones policiales contra la infraestructura de Qakbot en todo el mundo que incluyeron:

• Redirección del tráfico de la botnet a un servidor controlado por FBI
• Eliminación del programa malicioso Qakbot de las víctimas infectadas y desmantelamiento de su infraestructura mundial.
• Incautación o congelación de aproximadamente 8,6 millones de dólares en criptomoneda, que representan el producto de ganancias mal habidas.
• Puesta en marcha del programa de recompensas del Departamento de Estado por información sobre el grupo Qakbot

El FBI y sus socios pudieron hacerlo gracias a la colaboración y al uso de técnicas de investigación avanzadas. Por ejemplo, el jefe de sección Smith explicó: "En primer lugar, penetramos en la red de Qakbot y pudimos cartografiarla en su totalidad. Con autorización legal, asumimos el control de los servidores de mando y control de Qakbot y redirigimos el tráfico a un servidor bajo control del FBI. Con la autorización de los tribunales estadounidenses, facilitamos la eliminación del malware Qakbot de las máquinas de las víctimas mediante la actualización del malware Qakbot con una herramienta de eliminación". 

Este enfoque proactivo de una desarticulación multiagencia y polifacética fue el resultado de la persistencia y la colaboración. El FBI y el DOJ trabajaron con múltiples socios extranjeros, junto con Europol y Eurojust, para identificar y desmantelar la infraestructura. Entre los socios extranjeros se encontraban Alemania, los Países Bajos, Francia, Rumanía, Letonia y el Reino Unido, así como varias oficinas FBI, como las de Los Ángeles, Milwaukee y New Haven.

Por qué es importante

El FBI y sus socios adoptan un enfoque múltiple en sus estrategias contra la ciberdelincuencia. El FBI y sus socios pretenden neutralizar por completo a los actores de la ciberdelincuencia desmantelando el sistema de distribución del malware, su infraestructura general y su red de comunicaciones e incautando todos los beneficios de los delitos. 

Para ayudar a las víctimas, el FBI aprovechó las capacidades del sector privado de "Have I Been Pwned". El público puede ir a haveibeenpwned.com e introducir su dirección de correo electrónico para determinar si puede haber sido víctima de Qakbot.

Además, el FBI también se asoció con CISA, la Unidad de Delitos Digitales de Microsoft, la National Cyber Forensics and Training Alliance, Shadowserver y ZScaler para ayudar en la notificación y reparación de las víctimas. 

Las organizaciones deberían considerar la posibilidad de ponerse en contacto con el CISA (o el equivalente de su propio país) y con su proveedor de servicios de Internet e informarse sobre la disponibilidad de alertas gratuitas de notificación de víctimas y servicios asociados. 

Por último, hay que recordar a las víctimas que Qakbot facilitaba el acceso a redes comprometidas. A menudo, los delincuentes utilizaban malware y herramientas adicionales para robar datos, desplegar ransomware o llevar a cabo esquemas fraudulentos. Por tanto, aunque el FBI haya eliminado Qakbot de los equipos de las víctimas, es posible que todavía haya otros programas maliciosos en el sistema.