FBI vs. Qakbot-Netzwerk: Zerschlagen oder nur lahmgelegt?

FBI vs. Qakbot-Netzwerk: Zerschlagen oder nur lahmgelegt?

Beitrag teilen

Am 29. August 2023 gab das US-amerikanische FBI bekannt, dass es die multinationale Cyber-Hacking- und Ransomware-Operation Qakbot bzw. Qbot zerschlagen habe. Nach Hive, Emotet oder etwa Zloader hat es nun QakBot erwischt. Aber ist das Botnet zerschlagen und die Ransomware unbrauchbar oder nur lahmgelegt, wie das zum Teil bei Emotet der Fall war?

Die Qakbot-Malware infizierte die Opfer über Spam-E-Mails mit betrügerischen Anhängen und Links. Sie diente auch als Plattform für die Betreiber von Ransomware. Sobald der Computer des Opfers geknackt worden war, wurde er Teil des größeren Qakbot-Bot-Netzes, welches weitere Rechner kaperte. Weltweit waren 700 000 Computer betroffen, darunter in Finanzinstituten, staatlichen Auftragnehmern und Herstellern medizinischer Geräte.

Was ist Qakbot?

🔎 Der Check Point Mid-Year Report 2023 zeigt, dass Qbot / Qakbot global die meisten Attacken geführt hatte (Bild; Check Point).

Qakbot wurde von osteuropäischen Hackern betrieben und ist seit 2008 aktiv. Es ist die am häufigsten entdeckte Malware, die im ersten Halbjahr 2023 weltweit 11 Prozent der Unternehmensnetzwerke befallen hat. Qakbot ist besonders trickreich: Es handelt sich um eine Mehrzweck-Malware, die einem Schweizer Taschenmesser ähnelt. Sie ermöglicht Cyber-Kriminellen den direkten Diebstahl von Daten (unter anderem Zugangsdaten zu Finanzkonten, Zahlungskarten), oder von Rechnern, und dient gleichzeitig als Plattform, um die Netzwerke der Opfer mit weiterer Malware und Ransomware zu infizieren. Qakbot wird hauptsächlich über Phishing-E-Mails verbreitet und ist äußerst anpassungsfähig und flexibel, sodass die Malware Sicherheitsmaßnahmen umgehen kann. Sie verwendet bekannte Dateitypen, wie OneNote, PDF, HTML, ZIP, oder LNK, um Nutzer zu täuschen. So Sergey Shykevich, Threat Intelligence Manager bei Check Point Research.

Das sagt Google-Tochter Mandiant zu Qakbot

Das FBI hat mit Partnern auf der ganzen Welt zusammengearbeitet, um die Infrastruktur der Qakbot-Malware unschädlich zu machen. Die Infrastruktur wurde von Cyberkriminellen zur Verbreitung von Ransomware genutzt. Ransomware wird von Cyberkriminellen noch immer gerne genutzt, um wirtschaftliche Ziele zu verfolgen. Laut dem Forschungsbericht M-Trends 2023 war in den Ermittlungen von Mandiant im Jahr 2022 in 18 Prozent der Fälle Ransomware involviert.

Sandra Joyce, VP, Mandiant Intelligence bei Google Cloud erklärt: „Ransomware ist eine große Herausforderung für die nationale Sicherheit, die wir genauso ernst nehmen müssen wie Bedrohungen durch Nationalstaaten wie Russland oder Nordkorea. Die Grundlagen des Geschäftsmodells sind solide und dieses Problem wird sich in absehbarer Zeit nicht lösen lassen. Viele der Instrumente, die uns zur Verfügung stehen, werden keine dauerhafte Wirkung haben. Diese Gruppen werden sich erholen und zurückkommen. Aber wir haben die moralische Verpflichtung, diese Operationen zu unterbrechen, wann immer es möglich ist.“

Qakbot-Kommentar von Arctic Wolf

Die Entenjagd war erfolgreich: Medien berichten, dass es dem FBI im Rahmen einer internationalen Strafverfolgungsoperation namens “Duck Hunt” mit Einsatzkräften aus Deutschland, den Niederlanden, Rumänien, Lettland und dem Vereinigten Königreich gelang, das Botnetz zu zerschlagen, welches via der Qakbot Malware gesteuert wurde.

„Dass die „Entenjagd“ auf Qakbot erfolgreich war, ist aus gleich zwei Gründen erfreulich: Zum einen sehen wir, dass die internationalen Strafverfolgungsbehörden immer besser zusammenarbeiten, zum anderen ist das ein weiteres Zeichen in Richtung der organisierten Cyberkriminalität, dass man ihnen auf den Fersen ist und sie nicht ungestört ihr Unwesen treiben können.

Dennoch sollte auch dieser wichtige Durchbruch nicht überschätzt werden. Denn obwohl das Botnetz vorerst zerschlagen ist, bestehen die Malware-Source-Codes weiterhin – genau wie deren Entwickler. Es ist zu erwarten, dass diese sich innerhalb von wenigen Wochen oder Monaten neu formieren und ihre ‚Arbeit‘ wieder aufnehmen.

Unternehmen können prüfen, ob ihre Zugangsdaten von den Qakbot-Akteuren gestohlen wurden. Dies funktioniert unter Angabe der eigenen E-Mail-Adresse bei Have I Been Pwned oder auf der Website der niederländischen Polizei.“ So Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf.

 

Passende Artikel zum Thema

Cybersecurity für Microsoft 365 Copilot

Ein Spezialist für datenzentrierte Cybersicherheit, stellt mit Varonis für Microsoft 365 Copilot die erste speziell entwickelte Lösung zum Schutz des ➡ Weiterlesen

Der Cyber Resilience Act tritt in Kraft

Im März 2024 hat das Europäische Parlament den Cyber Resilience Act verabschiedet. Die finale Version wird in den nächsten Wochen ➡ Weiterlesen

Effiziente Angriffs-Tools: Wie Hacker KI LLMs für ihre Zwecke nutzen

Der Einsatz von KI kann Routineaufgaben automatisieren, Abläufe effizienter gestalten und die Produktivität erhöhen. Dies gilt für die legale Wirtschaft ➡ Weiterlesen

Wie sich NIS2-Compliance erreichen lässt

Bis 17. Oktober 2024 müssen die neuen EU-Richtlinien zur Netzwerk- und Informationssicherheit (NIS2) von allen Mitgliedstaaten durch lokale Gesetzgebung umgesetzt ➡ Weiterlesen

Neue Schutzlösung für Kleinst- und Homeoffice-Betriebe

Der europäische Sicherheitshersteller ESET hat sein neues Produktpaket ESET Small Business Security (ESBS) veröffentlicht. Das soll gezielt die Cybersicherheitsbedürfnisse von ➡ Weiterlesen

E-Mail-Schutz: Verhaltensbasierte KI verhindert falschen Datenversand

Was passiert wenn ein Mitarbeiter per E-Mail die falschen Daten versendet? Die neue KI-gestützte Lösung Adaptive Email Data Loss Prevention ➡ Weiterlesen

Bedrohungen erkennen mit Purple AI

Ein Unternehmen hat vor einem Jahr die erste Cybersecurity-Plattform vorgestellt, die auf generativer KI basiert. Nun gibt das Unternehmen die ➡ Weiterlesen

Rumänische Botnet-Operation der RUBYCARP-Gruppe aufgedeckt

Ein Threat Research Team hat eine ausgeklügelte und lang andauernde Botnet-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens ➡ Weiterlesen