Нажал “Enter” — получил срок: арестован владелец крупнейшего трояна
Начал с банковского трояна, закончил международным розыском — история Qakbot в одном вирусе.
Американские власти предъявили обвинения Рустаму Галлямову, названному организатором масштабной ботнет-сети Qakbot, которая использовалась для заражения более 700 тысяч компьютеров по всему миру и обеспечивала доступ к системам для проведения атак с применением программ-вымогателей.
Согласно материалам дела, работа над вредоносной программой Qakbot, известной также как Qbot или Pinkslipbot, началась ещё в 2008 году. Изначально Галлямов использовал её как банковский троян с возможностью самораспространения, функциями кейлоггера, загрузчика других вредоносных программ и бэкдора. Постепенно вокруг проекта сформировалась команда разработчиков, причастная также к созданию других типов вредоносного ПО.
К 2019 году Qakbot начал активно использоваться в качестве первичного вектора заражения при атаках с применением программ-вымогателей, проводимых такими известными группами, как Conti, ProLock, Egregor, REvil, RansomExx, MegaCortex, Doppelpaymer, Black Basta и Cactus. За предоставление доступы в скомпрометированные системы Галлямов получал долю от выкупа, величина которой зависела от условий сотрудничества с каждой конкретной группой.
По данным следствия, из-за заражений Qakbot сотни организаций по всему миру — от частных компаний и медицинских учреждений до правительственных структур — понесли ущерб на сотни миллионов долларов. Только за полтора года зафиксированные убытки превысили 58 миллионов.
В 2023 году ФБР удалось частично обезвредить инфраструктуру Qakbot, взломав её компоненты и получив контроль над одним из ключевых компьютеров оператора ботнета. Однако Галлямов продолжал координировать вредоносную деятельность вплоть до января 2025 года, организуя, в частности, масштабные спам-кампании, направленные против пользователей в США.
В ходе расследования у Галлямова были изъяты цифровые активы на сумму более 24 миллионов долларов. Речь идёт о криптовалютах, включая 30 биткойнов и 700 тысяч долларов в токенах USDT, что в пересчёте на текущий курс составляет свыше четырёх миллионов долларов. Эти средства стали предметом отдельного иска о конфискации, поданного Министерством юстиции США.
Меры по пресечению деятельности Qakbot проводились в рамках международной операции Endgame , в ходе которой были изъяты более 100 серверов, обеспечивавших функционирование нескольких ботнетов и загрузчиков вредоносного ПО, таких как IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.