O governo dos EUA indiciou o cidadão russo Rustam Rafailevich Gallyamov, líder da operação do malware botnet Qakbot, que comprometeu mais de 700.000 computadores e possibilitou ataques de ransomware.
De acordo com documentos judiciais, Gallyamov começou a desenvolver o Qakbot (também conhecido como Qbot e Pinkslipbot) em 2008 e o implantou para criar uma rede de milhares de computadores infectados.
Com o tempo, uma equipe de desenvolvedores foi formada em torno do Qakbot, mas a acusação observa que outros malwares também foram criados sob a liderança de Gallyamov.
Por cerca de uma década, Gallyamov usou o Qakbot como um banking trojan com capacidades de worm, malware dropper ou backdoor que também podia registrar as teclas digitadas.
A partir de 2019, o Qakbot tornou-se o vetor de infecção inicial em muitos ataques de ransomware por gangues infames como Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, Doppelpaymer, Black Basta e Cactus.
Ao fornecer acesso inicial, Gallyamov supostamente recebia uma parte do resgate pago pelas vítimas.
O pagamento variava de acordo com um acordo com cada grupo de ransomware.
Segundo a acusação, as infecções por Qakbot levaram a centenas de vítimas de ransomware ao redor do globo.
A lista inclui empresas privadas, provedores de saúde e agências governamentais.
Os comprometimentos causaram centenas de milhões de dólares em danos.
Em apenas 18 meses, os danos financeiros excederam $58 milhões.
Em 2023, o botnet Qakbot foi desmantelado pelo FBI, após hackear partes de sua infraestrutura e tomar controle de um computador usado por um administrador do Qakbot.
Apesar disso, Gallyamov continuou operações maliciosas e "orquestrou ataques de spam bomb contra vítimas nos Estados Unidos tão recentemente quanto janeiro de 2025."
Mais cedo hoje, o Departamento de Justiça entrou com uma queixa de confisco contra mais de $24 milhões em criptomoedas apreendidas de Gallyamov durante a investigação.
No mês passado, o FBI apreendeu mais ativos ilegais - 30 bitcoins e $700.000 em tokens USDT, valendo mais de $4 milhões na taxa de câmbio atual.
Ações de aplicação da lei foram tomadas em conjunto com a Operação Endgame, um esforço internacional que levou à apreensão de mais de 100 servidores usados por vários botnets e malware loaders (por exemplo, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader e SystemBC).
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...