De Amerikaanse autoriteiten hebben een 48-jarige Russische man aangeklaagd voor het leiden van een groep criminelen achter de Qakbot-malware. Daarnaast willen de autoriteiten de 24 miljoen dollar aan cryptovaluta die van de man in beslag zijn genomen verbeurd laten verklaren. Volgens de aanklacht is de man verantwoordelijk voor het ontwikkelen, verspreiden en beheren van de Qakbot-malware, waar hij begin 2008 mee zou zijn begonnen. Qakbot maakt allerlei inloggegevens op besmette computers buit en kan aanvullende malware installeren.

Vanaf 2019 zou de verdachte Qakbot hebben gebruikt om wereldwijd duizenden systemen te infecteren om zo een botnet op te zetten. Zodra een systeem was geïnfecteerd deelde de man deze toegang met zijn handlangers, die vervolgens ransomware uitrolden, aldus de autoriteiten. Het ging dan om ransomware zoals Prolock, Dopplepaymer, Egregor, REvil, Conti, Name Locker, Black Basta en Cactus. Naar verluidt zou de verdachte een deel van het losgeld hebben ontvangen dat slachtoffers betaalden.

In augustus wisten autoriteiten het Qakbot-botnet uit te schakelen. De verdachte en zijn handlangers gingen vervolgens gewoon door met hun criminele activiteiten, zo stelt de aanklacht. Zo werden organisaties het doelwit van "spam bombing". Hierbij worden werknemers van organisaties met een grote hoeveelheid spammails bestookt. Vervolgens worden de werknemers gebeld door de aanvallers, die zich voordoen als de helpdesk en stellen dat er een beveiligingsincident is. De "helpdeskmedewerker" vraagt de werknemer vervolgens om toegang tot het systeem. Daarvandaan wordt het bedrijfsnetwerk verder gecompromitteerd en uiteindelijk ransomware uitgerold en data gestolen.

Tijdens onderzoeken naar de verdachte werd een grote hoeveelheid bitcoin in beslag genomen, met een waarde van op dit moment 24 miljoen dollar. De Amerikaanse autoriteiten hebben een rechtbank gevraagd om dat bedrag verbeurd te laten verklaren, zodat het geld terug naar de slachtoffers kan.