Федеральное бюро расследований США сообщило об успешном проведении операции под названием Duck Hunt. Совместно с правоохранительными органами Великобритании, Германии, Нидерландов, Франции, а также Латвии и Румынии специалисты ФБР смогли полностью ликвидировать ботнет Qakbot. Изначально это вредоносное ПО (известное также как Qbot и Pinkslipbot) появилось в 2008 году и было троянцем, нацеленным на похищение учетных записей онлайн-банкинга, данных банковских карт и авторизационных файлов cookies.

Но со временем Qakbot эволюционировал в бот-сеть, которая предоставляла киберпреступникам первичный доступ к инфицированным устройствам для последующего осуществления различных атак, включая инфицирование систем программами-вымогателями и похищение данных. К услугам Qakbot неоднократно прибегали многие известные кибервымогательские группировки, включая Conti, REvil, Black Basta и BlackCat. Основным способом распространения вредоносного ПО были фишинговые сообщения электронной почты. Согласно информации ФБР, агентам Бюро удалось выявить порядка 700 тысяч инфицированных устройств, примерно 200 тысяч из которых находились на территории США. Также специалисты ФБР полагают, что только за период с октября 2021 по апрель 2023 годов злоумышленники, стоящие за созданием и распространением Qakbot, заработали порядка 58 миллионов долларов «отчислений» от кибервымогателей за успешные атаки.

Агентам ФБР удалось получить доступ к командным серверам Qakbot, и все они были конфискованы на завершающем этапе операции. Однако перед этим правоохранители проделали огромную работу. Они смогли перенаправить трафик с инфицированных устройств, которые каждые несколько минут обращались к командным серверам за инструкциями, на свои собственные серверы. Затем, получив соответствующую санкцию суда, специалисты ФБР отдали всем устройствам команду на полное удаление Qakbot. Таким образом, операция Duck Hunt не только разрушила всю инфраструктуру Qakbot, но и сделала его возрождение принципиально невозможным.