O FBI, em colaboração com as polícias de vários países europeus, desmantelou uma botnet que infetou pelo menos 700 mil computadores em todo mundo, cerca de 200 mil nos Estados Unidos. A Qakbot estava em atividade desde 2008, o que faz dela uma das infraestruturas de malware (conhecidas) por mais tempo em atividade.

A rede era usada para lançar ataques de ransomware e outros ataques com mote financeiro que, como admite o FBI, provocaram milhões de dólares em perdas para as vítimas ao longo dos últimos anos, entre utilizadores e organizações públicas e privadas.

“O FBI neutralizou esta cadeia logística de longo alcance, pela raiz", anunciou o diretor da agência, Christopher Wray, sublinhando que as vítimas da atividade da Qakbot iam desde instituições financeiras na Costa Leste, a um fornecedor de serviços de infra-estruturas críticas para serviços públicos no Midwest, ou a um fabricante de dispositivos médicos na Costa Oeste.

"Esta botnet forneceu aos cibercriminosos uma infraestrutura de comando e controlo constituída por centenas de milhares de computadores, utilizados para levar a cabo ataques contra indivíduos e empresas em todo o mundo", acrescentou o responsável do FBI, na comunicação da operação bem-sucedida.

Na nota divulgada pelo Departamento de Justiça dos Estados Unidos acrescenta-se que os grupos de ransomware que usaram a rede “causaram danos significativos a empresas, serviços de saúde e agências governamentais em todo o mundo”. Entre os exemplos citados está o de uma empresa de carnes, um fabricante de equipamentos na área da defesa, ou empresas de serviços financeiros. Segundo a mesma fonte, os investigadores encontraram provas de que, entre outubro de 2021 e abril de 2023, os administradores da Qakbot conseguiram angariar cerca de 58 milhões de dólares em resgates pagos pelas vítimas.

A operação liderada pelos Estados Unidos envolveu também as autoridades de França, Alemanha, Países Baixos, Letónia e Reino Unido. Permitiu recuperar 8,6 milhões de dólares em moedas digitais, obtidas através de crimes de extorsão e outros, realizados com recurso à Qakbot que ao longo dos últimos anos foi usada por vários grupos criminosos, como o Conti, ProLock, Egregor, REvil, MegaCortex ou Black Basta.

O modus operandi da Qakbot passava pela infeção dos computadores das vítimas, a partir de emails de spam com anexos ou links maliciosos. Quando o utilizador carregava nessa ligação, ou anexo, descarregava malware para o computador, incluindo ransomware - programas usados para bloquear informação nos sistemas informáticos infetados e solicitar o pagamento de resgates.

Quando o ataque ficava ativo, o computador afetado juntava-se também a uma rede zoombie de computadores (botnet) controlada à distância pelos atacantes. Este tipo de redes são muitas vezes usadas para lançar ataques de negação de serviço, sobrecarregando sites com pedidos simultâneos de acesso para os que servidores deixem de conseguir responder e o serviço fique indisponível. Os computadores infetados estão ao serviço dos atacantes para lançar este e outro tipo de ações.

Para desativar a rede, o FBI redirecionou o tráfego da Qakbot para servidores controlados pela agência, que deram a ordem aos computadores infetados para descarregar um ficheiro que permitiu remover o malware e prevenir futuras instalações.