Cyfrowa broń ransomware
To była operacja, która przez lata pozostawała w cieniu, a jej zasięg i skutki dopiero dziś zaczynają w pełni wychodzić na jaw. Rustam Rafailewicz Gallyamov, obywatel Rosji, został formalnie oskarżony przez Departament Sprawiedliwości USA o kierowanie siecią botnet Qakbot — jedną z najdłużej funkcjonujących i najbardziej destrukcyjnych infrastruktur służących do cyberataków. Według dokumentów sądowych, początki tej działalności sięgają 2008 roku. To właśnie wtedy Gallyamov miał rozpocząć rozwijanie złośliwego oprogramowania, które pod nazwami Qakbot, Qbot i Pinkslipbot infekowało komputery na całym świecie.
Botnet, jak wynika ze śledztwa, służył pierwotnie jako trojan bankowy, ale z czasem ewoluował. Potrafił działać jak robak komputerowy, zbierający dane z tysięcy maszyn, instalując kolejne warstwy złośliwego oprogramowania i tworząc tylne furtki do systemów operacyjnych. Co istotne, Qakbot nie tylko pozyskiwał dane i dostęp, ale też przekazywał kontrolę nad zainfekowanymi urządzeniami zewnętrznym grupom ransomware, które wykorzystywały je do dalszych ataków. Od 2019 roku stał się podstawowym narzędziem do infekowania systemów w ramach działalności takich grup jak Conti, REvil, Black Basta czy Cactus. Dzięki Qakbotowi cyberprzestępcy mogli szybko i skutecznie przedostawać się do zamkniętych systemów, szyfrować dane i żądać okupu. Jak wynika z ustaleń śledczych, Gallyamov miał otrzymywać procent z zapłaconych przez ofiary okupów, a jego rola w tym procederze była kluczowa — zapewniał dostęp i infrastrukturę, bez której ransomware nie mógłby działać na taką skalę.
Finansowe straty, konfiskaty i dalsze śledztwo
Zasięg operacji Qakbot okazał się globalny. Infekcje objęły ponad 700 tysięcy komputerów, a straty sięgnęły setek milionów dolarów. Tylko w ciągu 18 miesięcy zidentyfikowano szkody przekraczające 58 milionów dolarów. Ofiarami padały nie tylko firmy prywatne, ale również instytucje publiczne, szpitale i urzędy rządowe, co czyniło te ataki nie tylko kosztownymi, ale także niebezpiecznymi dla zdrowia publicznego i funkcjonowania administracji.
Choć FBI udało się w 2023 roku przejąć część infrastruktury botnetu i rozmontować główny system Qakbota, jego twórca nie zaprzestał działalności. Jeszcze na początku 2025 roku organizował kampanie spamowe, które miały prowadzić do kolejnych infekcji. Tym razem jednak nie umknął już uwadze służb. W wyniku dochodzenia amerykańskie służby zabezpieczyły od Gallyamova aktywa o wartości przekraczającej 24 miliony dolarów, zgromadzone w kryptowalutach. FBI poinformowało również o dodatkowych konfiskatach – 30 bitcoinów oraz tokeny USDT o wartości ponad 4 milionów dolarów według obecnego kursu.
Całość działań odbywała się w ramach międzynarodowej operacji Endgame, której celem było zniszczenie sieci botnetów i złośliwego oprogramowania odpowiedzialnych za dziesiątki ataków na całym świecie. Współpracując z partnerami z wielu krajów, amerykańskie służby doprowadziły do przejęcia ponad 100 serwerów wykorzystywanych do cyberataków przez złośliwe narzędzia takie jak Trickbot, Bumblebee, Smokeloader czy SystemBC.
Akt oskarżenia wobec Gallyamova jest jednym z najbardziej znaczących kroków w walce z cyberprzestępczością w ostatnich latach. Pokazuje, że nawet najbardziej zaawansowane technologicznie operacje nie są odporne na działania organów ścigania, a cyberprzestępcy nie mogą czuć się bezpiecznie – niezależnie od tego, ile warstw szyfrowania czy pośredników ich chroni.
