Una operación internacional desactiva el malware Qakbot que infectó más de 700.000 ordenadores a nivel mundial

ciberseguridad-phishing-email-h50
Comparte ese artículo

Europol ha apoyado la coordinación de una operación internacional a gran escala que ha derribado la infraestructura del malware Qakbot y ha dado lugar a la incautación de casi 8 millones de euros en criptomonedas. En la investigación internacional, también apoyada por Eurojust, participaron autoridades judiciales y policiales de Francia, Alemania, Letonia, Países Bajos, Rumanía, Reino Unido y Estados Unidos. Qakbot, operado por un grupo de ciberdelincuentes organizados, apuntó a infraestructuras y empresas críticas en varios países, robando datos financieros y credenciales de inicio de sesión. Los ciberdelincuentes utilizaron este malware persistente para cometer ransomware, fraude y otros delitos cibernéticos.

Activo desde 2007, este prolífico malware (también conocido como QBot o Pinkslipbot) evolucionó con el tiempo utilizando diferentes técnicas para infectar a los usuarios y comprometer los sistemas. Qakbot se infiltró en las computadoras de las víctimas a través de correos electrónicos no deseados que contenían archivos adjuntos o hipervínculos maliciosos. Una vez instalado en la computadora objetivo, el malware permitía infecciones con cargas útiles de siguiente etapa, como ransomware. Además, la computadora infectada pasó a formar parte de una botnet (una red de computadoras comprometidas) controlada simultáneamente por los ciberdelincuentes, generalmente sin el conocimiento de las víctimas. Sin embargo, el objetivo principal de Qakbot era robar datos financieros y credenciales de inicio de sesión de los navegadores web.

¿Cómo funciona Qakbot?

  1. La víctima recibe un correo electrónico con un archivo adjunto o hipervínculo y hace clic en él;
  2. Qakbot engaña a la víctima para que descargue archivos maliciosos imitando un proceso legítimo;
  3. Qakbot ejecuta y luego instala otro malware, como troyanos bancarios;
  4. Luego, el atacante roba datos financieros, información/ganchos del navegador, pulsaciones de teclas y/o credenciales;
  5. Otro malware, como el ransomware, se coloca en la computadora de la víctima.

Más de 700.000 ordenadores infectados en todo el mundo 

Varios grupos de ransomware utilizaron Qakbot para llevar a cabo una gran cantidad de ataques de ransomware en infraestructuras y empresas críticas. Los administradores de la botnet proporcionaron a estos grupos acceso a las redes infectadas pagando una tarifa. La investigación sugiere que entre octubre de 2021 y abril de 2023, los administradores recibieron honorarios correspondientes a casi 54 millones de euros en concepto de rescates pagados por las víctimas. El examen legal de la infraestructura incautada reveló que el malware había infectado más de 700.000 ordenadores en todo el mundo. Las autoridades detectaron servidores infectados con Qakbot en casi 30 países de Europa, América del Sur y del Norte, Asia y África, lo que permitió la actividad del malware a escala global.

A lo largo de la investigación, Europol facilitó el intercambio de información entre las agencias participantes, apoyó la coordinación de actividades operativas y financió reuniones operativas. Europol también proporcionó apoyo analítico vinculando los datos disponibles con diversos casos penales dentro y fuera de la UE. El Grupo de Trabajo Conjunto de Acción contra la Ciberdelincuencia (J-CAT) de Europol también apoyó la operación. Este equipo operativo permanente está formado por funcionarios de enlace contra delitos cibernéticos de diferentes países que trabajan en investigaciones de delitos cibernéticos de alto perfil.

Eurojust facilitó activamente la cooperación judicial transfronteriza entre las autoridades nacionales implicadas. La Agencia organizó una reunión de coordinación en julio de 2023 para facilitar el intercambio de pruebas y prepararse para esta operación conjunta.

Autoridades policiales involucradas:

  • Francia: Policía Nacional (Police Nationale) y Gendarmería Nacional (Gendarmerie Nationale)
  • Alemania: Oficina Federal de Policía Criminal (Bundeskriminalamt)
  • Letonia:  Policía Estatal (Valsts policija)
  • Países Bajos:  Policía Nacional (Politie)
  • Rumania: Policía rumana (Poliția Română)
  • Reino Unido:  Agencia Nacional contra el Crimen
  • Estados Unidos:  Oficina Federal de Investigaciones (FBI de EE. UU.)

Autoridades judiciales involucradas:

    • Francia: Jurisdicción Nacional contra el Crimen Organizado (JUNALCO), Unidad de Delitos Cibernéticos del Ministerio Público;
    • Alemania: Fiscalía General de Frankfurt am Main – Centro de Delitos Cibernéticos;
    • Países Bajos: Fiscalía Nacional de Rotterdam
    • Estados Unidos: Fiscalía Federal para el Distrito Central de California y Sección de Delitos Informáticos y Propiedad Intelectual del Departamento de Justicia

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error: Contenido protegido por derechos de autor c) 2021 h50. Está expresamente prohibida la redistribución y la redifusión de este contenido sin su previo y expreso consentimiento.