Die Qakbot-Malware infizierte weltweit mehr als 700'000 Computer und erleichterte somit den Einsatz von Ransomware. Global entstanden durch das Botnetz Schäden von Hunderten Millionen Dollar. Nun soll damit aber Schluss sein. Das amerikanische Justizministerium gab bekannt, dass das Botnetz und die Malware dahinter zerstört worden sind. Zudem sei die Infrastruktur der Cyberkriminellen entsorgt worden, heisst es in einer Mitteilung der Behörde.
In einer gemeinsamen Aktion mit Frankreich, Deutschland, den Niederlanden, dem Vereinigten Königreich, Rumänien und Lettland konnte Qakbot zerschlagen werden. Der Schadcode wurde von den betroffenen Computern gelöscht, sodass keine weiteren Angriffe mehr möglich sind. Zusätzlich wurden auch noch rund 8,6 Millionen Dollar in Kryptowährung beschlagnahmt.
Gemäss dem FBI stellte die "Operation Duck Hunt" die grösste Unterbrechung einer Botnetz-Infrastruktur unter amerikanischer Führung dar. "Cyberkriminelle, die sich auf Malware wie Qakbot verlassen, um private Daten von unschuldigen Opfern zu stehlen, wurden heute daran erinnert, dass sie nicht ausserhalb der Grenzen des Gesetzes operieren", sagte Generalstaatsanwalt Merrick Garland.
Zulieferer für Ransomware-Banden
Gerichtsdokumenten zufolge wird Qakbot, das auch unter anderen Namen wie "Qbot" und "Pinkslipbot" bekannt ist, von einer cyberkriminellen Organisation kontrolliert und für Angriffe auf kritische Branchen eingesetzt. Die Malware infiziert die Computer der Opfer hauptsächlich über Spam-E-Mails mit bösartigen Anhängen oder Hyperlinks. Sobald ein Computer befallen ist, kann Qakbot zusätzliche Malware, einschliesslich Ransomware, auf den infizierten Computer übertragen.
Qakbot wurde in den letzten Jahren von vielen Ransomware-Gruppen, darunter Conti, ProLock, Egregor, Revil, MegaCortex oder Black Basta, als Einfallstor verwendet. Die Cyberkriminellen erpressen ihre Opfer dann, indem sie Lösegeldzahlungen in Bitcoin fordern, bevor sie den Zugang zu den Computernetzwerken wiederherstellen. "Qakbot war das Botnetz der Wahl für einige der berüchtigtsten Ransomware-Gangs", sagte US-Staatsanwalt Martin Estrada.
Malware deinstalliert
Um das Botnetz zu unterbrechen, musste das FBI den Datenverkehr des Qakbot-Botnetzes über selbst kontrollierte Server umleiten. Diese wiederum brachten die infizierten Computer dazu, eine von den Strafverfolgungsbehörden erstellte Datei herunterzuladen, die die Qakbot-Malware deinstallierte. Damit wurden die Computer vom Qakbot-Botnetz entkoppelt und eine weitere Installation von Malware durch Qakbot verhindert.
Der Umfang dieser Strafverfolgungsmassnahme beschränkte sich somit nur auf Informationen, die von Qakbot auf Computern installiert wurden. Andere Malware, die möglicherweise auch bereits auf den Geräten der Opfer vorhanden war, wurde nicht tangiert.