Власти США предъявили обвинения гражданину России Рустаму Рафаилевичу Галлямову, которого подозревают в руководстве хак-группой, стоящей за созданием известной малвари Qakbot и одноименного ботнета (он же QBot, Quakbot и Pinkslipbot).
Министерство юстиции США утверждает, что 48-летний Галлямов предположительно «разрабатывал, внедрял и контролировал вредоносное ПО QakBot, начиная с 2008 года».
QakBot
QakBot, активный с 2008 года, изначально представлял собой банковский троян, но со временем превратился в мощный загрузчик вредоносного ПО, способный развертывать дополнительные полезные нагрузки, похищать конфиденциальную информацию и обеспечивать боковое перемещение.
Как правило, QakBot распространялся посредством фишинга, в том числе по электронной почте. Обычно письма содержали вредоносные документы во вложениях или ссылки для загрузки вредоносных файлов, которые устанавливали малварь на устройство пользователя.
Проникнув на компьютер жертвы, QakBot внедрялся в память легитимных процессов Windows, таких как wermgr.exe или AtBroker.exe, чтобы попытаться избежать обнаружения защитными продуктами.
После успешной атаки вредонос искал информацию, которую можно украсть, включая электронные письма жертвы, для использования в будущих фишинговых кампаниях. В конечном итоге доступ к системе пострадавшего, скорее всего, продавался другим злоумышленникам, включая операторов вымогательского ПО.
Согласно обвинительному заключению (PDF), начиная с 2019 года группировка, стоявшая за созданием QakBot, возглавляемая Галлямовым, заразила более 700 000 компьютеров по всему миру, сделав их частью ботнета.
Жертвами этих атак стали медицинские, страховые, производственные, маркетинговые, музыкальные, риэлторские, технологические и телекоммуникационные организации в США.
Утверждается, что Галлямов и его сообщники продавали доступ к зараженным QakBot компьютерам другим преступникам, которые устанавливали на них такие семейства вымогателей, как Black Basta, Cactus, Conti, Doppelpaymer, Egregor, Name Locker, Prolock и REvil. При этом сам Галлямов якобы лично заразил системы нескольких жертв Black Basta и Cactus.
«После этого обвиняемый Галлямов и его сообщники вымогали у жертв выкуп за восстановление доступа к их конфиденциальным данным и/или предотвращение их распространения. Обвиняемый и его сообщники получали часть любого выплаченного выкупа», — говорится в обвинительном заключении.
Согласно обвинительному заключению, по состоянию на май 2025 года Галлямов продолжает заниматься деятельностью, связанной со взломом компьютеров, распространением малвари, кражей данных и вымогательством. Для своих кампаний он якобы использует спам-атаки.
Дело в том, что в августе 2023 года правоохранительные органы провели масштабную операцию «Утиная охота» (Duck Hunt), нацеленную на инфраструктуру QakBot, фактически уничтожив ботнет и конфисковав у связанных с ним лиц миллионы долларов в криптовалюте. Однако вскоре после этого QakBot продолжил распространять вымогательское ПО и другую малварь.
Также сообщается, что 25 апреля 2025 года, в соответствии с судебным ордером, власти изъяли у Галлямова 4 млн долларов в криптовалюте. По оценкам американских правоохранителей, незаконные доходы, изъятые у Галлямова, суммарно оцениваются в 24 млн долларов. Предполагается, что эти средства могут быть возвращены жертвам.
Действия против Галлямова были предприняты в рамках масштабной международной операции «Эндшпиль» (Operation Endgame). Так, ранее в этом месяце правоохранители сообщили о ликвидации ботента DanaBot и захвате части инфраструктуры стилера Lumma, что тоже стало частью операции «Эндшпиль».
