El malware va afectar més de 700.000 ordinadors i es van pagar almenys 54 milions d’euros en rescats des de 2007.

L’Europol ha donat suport a una operació internacional a gran escala que ha eliminat la infraestructura del malware Qakbot i ha donat lloc a una confiscació de gairebé 8 milions d’euros en criptomonedes. En la recerca internacional, també recolzada per Eurojust, varen participar autoritats judicials i policials de França, Alemanya, Letònia, Països Baixos, Romania, el Regne Unit i els Estats Units. Qakbot, operat per un grup de ciberdelinqüents organitzats, va apuntar a infraestructures i negocis crítics en diversos països, perpetrant un furt de dades financeres i credencials d’inici de sessió. Els ciberdelinqüents van utilitzar aquest malware persistent per cometre atacs de ransomware i fraus entre d’altres delictes cibernètics.

Actiu des del 2007, aquest prolífic programari maliciós (també conegut com QBot o Pinkslipbot) va evolucionar amb el temps utilitzant diferents tècniques per infectar als usuaris i comprometre els sistemes. Qakbot es va infiltrar en els ordinadors de les víctimes a través de correus electrònics no desitjats que contenien arxius adjunts o enllaços maliciosos. Una vegada instal·lat a l’ordinador triat com a objectiu, el malware permetia infeccions amb càrregues útils de següent etapa, com ara ransomware. A més, l’ordinador infectat va passar a formar part d’una botnet (una xarxa d’ordinadors compromesos) controlada de manera simultània pels ciberdelinqüents, generalment sense que les víctimes en siguin conscients. No obstant això, l’objectiu principal de Qakbot era prendre les dades financeres i credencials d’inici de sessió dels navegadors web.

Com funciona Qakbot?

En primer lloc, la víctima rep un correu electrònic amb un arxiu adjunt o enllaç i hi fa clic en ell. Acte seguit, Qakbot enganya la víctima perquè descarregui arxius maliciosos imitant un procés legítim. D’aquesta manera, Qakbot executa i instal·la un altre malware, com per exemple troians bancaris. Després, l’atacant pren les dades financeres, informació/ganxos del navegador, pulsacions de tecles i/o credencials.

Es col·loca un altre malware, com ransomware, en la computadora de la víctima.

Més de 700.000 ordinadors infectats a tot el món.

Diversos grups de ransomware van utilitzar Qakbot per a dur a terme una gran quantitat d’atacs de ransomware en infraestructures i empreses crítiques. Els administradors de la xarxa botnet van proporcionar a aquests grups accés a les xarxes infectades pagant una tarifa. La recerca suggereix que entre l’octubre del 2021 i l’abril del 2023, els administradors van rebre honoraris corresponents a gairebé 54 milions d’euros en forma de rescats pagats per les víctimes. L’examen legal de la infraestructura confiscada va revelar que el malware havia infectat més de 700.000 ordinadors arreu del món. Les forces de l’ordre van detectar servidors infectats amb Qakbot en gairebé 30 països d’Europa, Amèrica del Sud i del Nord, Àsia i Àfrica, la qual cosa va permetre l’activitat del programari maliciós a escala global.

Al llarg de la recerca, l’Europol va facilitar l’intercanvi d’informació entre les agències participants, va donar suport a la coordinació d’activitats operatives i va finançar reunions operatives. L’Europol també va proporcionar suport analític vinculant les dades disponibles amb diversos casos penals dins i fora de la Unió Europea. El Grup de Treball Conjunt d’Acció contra la Ciberdelinqüència (J-CAT) d’Europol també va donar suport a l’operació. Aquest equip operatiu permanent està format per funcionaris d’enllaç contra delictes cibernètics de diferents països que treballen en recerques de delictes cibernètics d’alt perfil.

L’Eurojust va facilitar activament la cooperació judicial transfronterera entre les autoritats nacionals implicades. L’Agència va organitzar una reunió de coordinació al juliol de 2023 per a facilitar l’intercanvi de proves i preparar-se per a aquesta operació conjunta.

Autoritats policials involucrades:

• França: Policia Nacional (Police Nationale) i Gendarmeria Nacional (Gendarmerie Nationale).
• Alemanya: Oficina Federal de Policia Criminal (Bundeskriminalamt).
• Letònia: Policia Estatal (Valsts policija).
• Països Baixos: Policia Nacional (Politie).
• Romania: Policia romanesa (Poliția Română).
• Regne Unit: Agència Nacional contra el Crim.
• Estats Units: Oficina Federal d’Investigació (FBI dels EUA).

Autoritats judicials involucrades:

• França: Jurisdicció Nacional contra el Crim Organitzat (JUNALCO), Unitat de Delictes Cibernètics del Ministeri Públic.
• Alemanya: Fiscalia General de Frankfurt am Main – Centre de Delictes Cibernètics.
• Països Baixos: Fiscalia Nacional de Rotterdam.
• Estats Units: Fiscalia Federal pel Districte Central de Califòrnia i la Secció de Delictes Informàtics i Propietat Intel·lectual del Departament de Justícia.

La Plataforma Multidisciplinària Europea contra les Amenaces Criminals (EMPACT) aborda les amenaces més importants que planteja la delinqüència internacional organitzada i greu que afecta la UE. EMPACT enforteix la cooperació en matèria d’intel·ligència, estratègica i operativa entre les autoritats nacionals, les institucions i organismes de la UE i els socis internacionals. EMPACT s’executa en cicles de quatre anys i se centra en les prioritats comunes en matèria de delinqüència de la Unió Europea.