Qakbot bleibt gefährlich

B2B Cyber Security ShortNews

Beitrag teilen

Sophos X-Ops hat eine neue Variante der Qakbot-Malware entdeckt und analysiert. Erstmals traten diese Fälle Mitte Dezember auf und sie zeigen, dass sich die Qakbot-Malware trotz der erfolgreichen Zerschlagung der Botnet-Infrastruktur durch die Strafverfolgungsbehörden im vergangenen August weiterentwickelt hat.

Dabei setzen die Angreifer noch bessere Methoden ein, ihre Spuren zu verwischen. Die von Sophos X-Ops analysierten Fälle zeigen, dass die Cyberkriminellen gezielte Anstrengungen unternommen haben, um die Verschlüsselung der Malware zu verstärken. Für Verteidiger ist es dadurch schwieriger geworden, den schädlichen Code zu analysieren. Außerdem verschlüsseln die Angreifer jetzt die gesamte Kommunikation zwischen der Malware und dem Kontrollserver mit einer stärkeren Methode als in früheren Versionen. Die Malware hat auch eine zuvor entfernte Funktion wieder eingeführt, die verhindert, dass sie in einer virtuellen Umgebung oder Sandbox ausgeführt wird.

Schöpfer von Qakbot weiterhin aktiv

Erst wenn die Schöpfer des Bots strafrechtlich belangt sind, könnte Quakbot enden. „Die Zerschlagung der Qakbot-Botnet-Infrastruktur war ein Sieg, aber die Schöpfer des Bots sind weiterhin aktiv,“ kommentiert Andrew Brandt, Principal Researcher von Sophos X-Ops die jüngsten Qakbot-Vorfälle. „Cyberkriminelle, die Zugang zum ursprünglichen Qakbot-Quellcode haben, experimentieren mit neuen Varianten und testen diese im realen Einsatz.

Eine der bemerkenswertesten Änderungen betrifft den Verschlüsselungsalgorithmus, den der Bot verwendet, um fest einkodierten Standardkonfigurationen zu verbergen. Dies macht es für Analysten noch schwieriger, die Funktionsweise der Malware zu erkennen. Die Angreifer stellen auch zuvor veraltete Funktionen wie die Erkennung virtueller Maschinen (VM) wieder her und testen sie in diesen neuen Versionen. Es ist sehr wahrscheinlich, dass die Entwicklung von Qakbot weitergeht, bis seine Schöpfer strafrechtlich verfolgt werden. Die gute Nachricht ist, dass diese neuen Qakbot-Varianten mit zuvor erstellten Signaturen von einer Endpoint-Detection-Software leicht zu erkennen sind.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


Passende Artikel zum Thema

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen

Ransomware-Angriff auf Fraunhofer-Institut

Ein Ransomware-Angriffe hat bereits am 27. Dezember 2024 das Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO in Stuttgart getroffen. Das Institut ➡ Weiterlesen

Prognosen für 2025

Die Cybersecurity-Landschaft entwickelt sich mit atemberaubender Geschwindigkeit. Für 2025 zeichnen sich bereits heute einige kritische Entwicklungen ab, die besonders Unternehmen ➡ Weiterlesen

Schutz vor KI-Jailbreaks durch Open-Source-Tool 

FuzzyAI, ein quelloffenes Framework, hat bislang für jedes getestete Modell einen KI-Jailbreak gefunden. Es hilft Unternehmen, Schwachstellen in ihren KI-Modellen ➡ Weiterlesen

Zero-Day-Schwachstelle lässt Fernzugriff zu 

Die Arctic Wolf Labs Threat Intelligence Teams haben neue schädliche Aktivitäten im Zusammenhang mit der von Huntress aufgedeckten Zero-Day-Schwachstelle in ➡ Weiterlesen

Neue Ransomware Ymir entdeckt

Den Experten ist eine neue Ransomware mit ausgeklügelten Verschleierungstechniken in Netz gegangen. Die Malware Ymir nutzt Whitelist-Funktionen um der Entdeckung ➡ Weiterlesen