FBI legt Qakbot-Netzwerk still

30. August 2023 um 09:41
image
Die "Operation Duck Hunt" war erfolgreich. Illustration: Erstellt durch inside-it.ch mit Midjourney

In einer gemeinsamen Aktion mit europäischen Strafverfolgungs­behörden wurde das Botnetz mit der dazugehörigen Malware und Infrastruktur zerschlagen.

Die Qakbot-Malware infizierte weltweit mehr als 700'000 Computer und erleichterte somit den Einsatz von Ransomware. Global entstanden durch das Botnetz Schäden von Hunderten Millionen Dollar. Nun soll damit aber Schluss sein. Das amerikanische Justizministerium gab bekannt, dass das Botnetz und die Malware dahinter zerstört worden sind. Zudem sei die Infrastruktur der Cyberkriminellen entsorgt worden, heisst es in einer Mitteilung der Behörde.
In einer gemeinsamen Aktion mit Frankreich, Deutschland, den Niederlanden, dem Vereinigten Königreich, Rumänien und Lettland konnte Qakbot zerschlagen werden. Der Schadcode wurde von den betroffenen Computern gelöscht, sodass keine weiteren Angriffe mehr möglich sind. Zusätzlich wurden auch noch rund 8,6 Millionen Dollar in Kryptowährung beschlagnahmt.
Gemäss dem FBI stellte die "Operation Duck Hunt" die grösste Unterbrechung einer Botnetz-Infrastruktur unter amerikanischer Führung dar. "Cyber­kriminelle, die sich auf Malware wie Qakbot verlassen, um private Daten von unschuldigen Opfern zu stehlen, wurden heute daran erinnert, dass sie nicht ausserhalb der Grenzen des Gesetzes operieren", sagte Generalstaatsanwalt Merrick Garland.

Zulieferer für Ransomware-Banden

Gerichtsdokumenten zufolge wird Qakbot, das auch unter anderen Namen wie "Qbot" und "Pinkslipbot" bekannt ist, von einer cyberkriminellen Organisation kontrolliert und für Angriffe auf kritische Branchen eingesetzt. Die Malware infiziert die Computer der Opfer hauptsächlich über Spam-E-Mails mit bösartigen Anhängen oder Hyperlinks. Sobald ein Computer befallen ist, kann Qakbot zusätzliche Malware, einschliesslich Ransomware, auf den infizierten Computer übertragen.
Qakbot wurde in den letzten Jahren von vielen Ransomware-Gruppen, darunter Conti, ProLock, Egregor, Revil, MegaCortex oder Black Basta, als Einfallstor verwendet. Die Cyberkriminellen erpressen ihre Opfer dann, indem sie Lösegeldzahlungen in Bitcoin fordern, bevor sie den Zugang zu den Computernetzwerken wiederherstellen. "Qakbot war das Botnetz der Wahl für einige der berüchtigtsten Ransomware-Gangs", sagte US-Staatsanwalt Martin Estrada.

Malware deinstalliert

Um das Botnetz zu unterbrechen, musste das FBI den Datenverkehr des Qakbot-Botnetzes über selbst kontrollierte Server umleiten. Diese wiederum brachten die infizierten Computer dazu, eine von den Strafverfolgungs­behörden erstellte Datei herunterzuladen, die die Qakbot-Malware deinstallierte. Damit wurden die Computer vom Qakbot-Botnetz entkoppelt und eine weitere Installation von Malware durch Qakbot verhindert.
Der Umfang dieser Strafverfolgungsmassnahme beschränkte sich somit nur auf Informationen, die von Qakbot auf Computern installiert wurden. Andere Malware, die möglicherweise auch bereits auf den Geräten der Opfer vorhanden war, wurde nicht tangiert.

Loading

Mehr zum Thema

image

Ransomware-Gewinne brechen ein

Das erpresste Lösegeld ist unter die Milliardengrenze gesunken. Das hat auch mit erfolgreichen Aktionen von Polizeibehörden zu tun.

publiziert am 7.2.2025
image

Banken­soft­ware­dienst­leister ITSS Global gehackt

Eine Ransomware-Bande behauptet, Daten des Genfer Fintechs erbeutet zu haben. Das Unternehmen bestätigt einen Angriff auf ein nicht privilegiertes Benutzerkonto.

publiziert am 6.2.2025
image

Angriff auf Swissmem-Ausgleichskasse: Spuren führen nach Russland

Die Ausgleichskasse kann noch nicht sagen, welche Art von Daten abgeflossen ist. Man werde aber auf keine Forderungen der Täter eingehen

publiziert am 6.2.2025
image

Women in Cyber und SANS Institute wollen "Women in Cyber Talent Academy" gründen

Damit das Trainingsinstitut für Security-Quereinsteigerinnen im Herbst loslegen kann, müssen aber noch finanzielle Partner einsteigen.

publiziert am 5.2.2025