ایالات متحده رهبر شبکه بات‌نت Qakbot را به اتهام حملات باج‌افزاری تحت پیگرد قرار داد.

دولت ایالات متحده، شهروند روسی به نام Rustam Rafailevich Gallyamov را به اتهام رهبری عملیات بدافزاری Qakbot متهم کرده است؛ عملیاتی که بیش از ۷۰۰,۰۰۰ رایانه را آلوده کرده و بستر لازم برای حملات باج‌افزاری را فراهم ساخت.

بر اساس اسناد دادگاه، Gallyamov از سال ۲۰۰۸ توسعه Qakbot (که همچنین با نام‌های Qbot و Pinkslipbot شناخته می‌شود) را آغاز کرد و آن را برای ایجاد یک شبکه از هزاران رایانه آلوده به‌کار گرفت.

در طول زمان، تیمی از توسعه‌دهندگان حول Qakbot شکل گرفت، اما کیفرخواست اشاره دارد که سایر بدافزارها نیز تحت رهبری Gallyamov توسعه داده شده‌اند.

به مدت تقریباً یک دهه، Gallyamov از Qakbot به‌عنوان یک banking trojan با قابلیت‌های worm، malware dropper یا backdoor استفاده می‌کرد که می‌توانست فعالیت‌های کاربر (از جمله keystrokes) را ثبت کند.

از سال ۲۰۱۹، Qakbot به بردار اولیه آلوده‌سازی در بسیاری از حملات باج‌افزاری توسط گروه‌های بدنامی همچون Conti، ProLock، Egregor، REvil، RansomExx، MegaCortex، Doppelpaymer، Black Basta و Cactus تبدیل شد.

برای فراهم‌کردن دسترسی اولیه، گفته می‌شود Gallyamov بخشی از باج پرداخت‌شده توسط قربانیان را دریافت می‌کرد. میزان پرداخت بر اساس توافق با هر گروه باج‌افزاری متفاوت بود.

مصادره بیش از ۲۴ میلیون دلار دارایی دیجیتال

طبق کیفرخواست، آلوده‌سازی‌های Qakbot منجر به صدها قربانی باج‌افزاری در سراسر جهان شد؛ از جمله شرکت‌های خصوصی، ارائه‌دهندگان خدمات درمانی و نهادهای دولتی.
این نفوذها صدها میلیون دلار خسارت مالی به‌بار آورد. تنها در مدت ۱۸ ماه، خسارات مالی از ۵۸ میلیون دلار فراتر رفت.

در سال ۲۰۲۳، شبکه Qakbot botnet توسط FBI پس از هک بخش‌هایی از زیرساخت آن و در اختیار گرفتن یکی از رایانه‌های مدیریتی Qakbot، منهدم شد.

با وجود این، Gallyamov به عملیات مخرب خود ادامه داد و «حملات spam bomb علیه قربانیان در ایالات متحده را تا ژانویه ۲۰۲۵ سازماندهی کرد.»

امروز، وزارت دادگستری ایالات متحده شکایت مصادره‌ای علیه بیش از ۲۴ میلیون دلار رمزارز که در جریان تحقیقات از Gallyamov ضبط شده بود، ثبت کرد.

ماه گذشته نیز، FBI دارایی‌های غیرقانونی بیشتری شامل ۳۰ bitcoin و ۷۰۰,۰۰۰ دلار USDT tokens (با ارزشی بیش از ۴ میلیون دلار به نرخ روز) را توقیف کرد.

اقدامات قانونی در هماهنگی با Operation Endgame انجام شد؛ یک تلاش بین‌المللی که منجر به توقیف بیش از ۱۰۰ سرور مورد استفاده توسط چندین botnet و malware loader از جمله IcedID، Pikabot، Trickbot، Bumblebee، Smokeloader و SystemBC شد.