Qakbot malware y ransomware: Rustam Gallyamov acusado por EE.UU. Cooperación internacional contra ciberdelito y lavado de criptomonedas.
El Departamento de Justicia de EE.UU. (DOJ) anunció hoy la acusación formal contra un ciudadano ruso, Rustam Rafailevich Gallyamov, por liderar la red de malware Qakbot, responsable de infectar miles de computadoras globalmente con ransomware. Se han incautado más de $24 millones en cvinculadas a la actividad delictiva.
Rustam Rafailevich Gallyamov, de 48 años y residente en Moscú, Rusia, enfrenta cargos por conspiración para cometer fraude y abuso informático, y conspiración para cometer fraude electrónico, según una acusación de un gran jurado federal desvelada hoy en el Distrito Central de California. Aunque Gallyamov se cree que está en Rusia y no ha sido detenido, las autoridades estadounidenses han dado un golpe significativo a sus finanzas al presentar una demanda de decomiso civil contra más de $24 millones en criptomonedas incautadas durante la investigación.
Según la acusación, Gallyamov desarrolló, desplegó y controló el malware Qakbot desde aproximadamente 2008. A partir de 2019, utilizó la botnet Qakbot –una red de computadoras infectadas– para facilitar la instalación de diversas familias de ransomware notorias, incluyendo Prolock, Dopplepaymer, Egregor, REvil, Conti, Name Locker, Black Basta y Cactus. Una vez que las víctimas eran extorsionadas, Gallyamov recibía una porción de los rescates pagados.
Un Golpe al Ecosistema del Ransomware como Servicio
La diversidad de tipos de ransomware asociados a Qakbot sugiere que este malware no era simplemente una herramienta aislada, sino una plataforma o un servicio de acceso (conocido como «Access-as-a-Service») para múltiples grupos de ciberdelincuentes. Esto convertía a Qakbot en un nodo crítico dentro del ecosistema delictivo del «Ransomware-as-a-Service» (RaaS), donde los desarrolladores de malware venden o alquilan el acceso a sistemas vulnerables a otros actores criminales que luego ejecutan los ataques de ransomware. El desmantelamiento de Qakbot, por lo tanto, tiene un impacto que se extiende más allá de una sola amenaza, afectando a una red interconectada de operaciones de ransomware.
La operación contra Qakbot es un esfuerzo continuo. En agosto de 2023, una operación multinacional liderada por Estados Unidos logró interrumpir la botnet y el malware Qakbot. Sin embargo, la acusación revela que Gallyamov y sus cómplices persistieron en sus actividades ilícitas. En lugar de la botnet, recurrieron a tácticas alternativas, como los ataques de «spam bomb», donde engañaban a empleados de empresas víctimas para que concedieran acceso a sus sistemas informáticos. Se alega que Gallyamov orquestó ataques de «spam bomb» contra víctimas en Estados Unidos tan recientemente como en enero de 2025, desplegando ransomware Black Basta y Cactus.
Cooperación internacional y la resiliencia del cibercrimen
«Las acusaciones penales y el caso de decomiso anunciados hoy son parte de un esfuerzo continuo con nuestros socios de las fuerzas del orden nacionales e internacionales para identificar, desarticular y hacer rendir cuentas a los ciberdelincuentes», declaró el Fiscal Federal Bill Essayli para el Distrito Central de California. Por su parte, Matthew R. Galeotti, Jefe de la División Penal del Departamento de Justicia, afirmó: «No dejaremos de hacer rendir cuentas a los ciberdelincuentes, incluso a lo largo de años, y utilizaremos todas las herramientas legales a nuestra disposición para identificarlos, acusarlos, decomisar sus ganancias mal habidas y desarticular su actividad delictiva».
La operación contó con la colaboración de agencias de Alemania, Francia, Canadá, Reino Unido, Dinamarca y Países Bajos, según informes. Esta cooperación internacional es vital, pero la presunta ubicación de Gallyamov en Rusia, donde no está bajo custodia, también subraya los desafíos geopolíticos inherentes a la persecución de ciberdelincuentes que operan desde jurisdicciones que pueden no ser cooperativas.
La continuación de las actividades delictivas por parte de Gallyamov tras la interrupción inicial de la botnet Qakbot en 2023 ilustra la notable resiliencia y la capacidad de innovación constante en el mundo del cibercrimen. Esto implica que las acciones de desmantelamiento, aunque cruciales, deben considerarse como parte de una estrategia de ciberseguridad continua y adaptable, que anticipe la evolución de las tácticas de amenaza, en lugar de soluciones definitivas.
Síguenos en nuestro perfil de X La Verdad Noticias y mantente al tanto de las noticias más importantes del día.
TE PODRÍA INTERESAR