Laut The Hacker News handelt es sich bei QakBot um eine berüchtigte Windows-Malware-Variante, die Schätzungen zufolge weltweit über 700.000 Computer befallen hat und sowohl Finanzbetrug als auch Ransomware ermöglicht.
Das US- Justizministerium teilte mit, dass die Schadsoftware derzeit von den Computern der Opfer entfernt werde, um weiteren Schaden zu verhindern. Zudem hätten die Behörden illegale Kryptowährungen im Wert von über 8,6 Millionen US-Dollar beschlagnahmt.
Die grenzüberschreitende Operation, an der Frankreich, Deutschland, Lettland, Rumänien, die Niederlande, Großbritannien und die USA beteiligt waren und die vom Cybersicherheitsunternehmen Zscaler technisch unterstützt wurde, war die größte von den USA geführte Razzia gegen die von Cyberkriminellen genutzte Botnet-Infrastruktur. Allerdings wurden keine Festnahmen bekannt gegeben.
QakBots Botnet-Kontrollmodell
QakBot, auch bekannt als QBot und Pinkslipbot, begann 2007 als Banking-Trojaner, bevor es als Verbreitungszentrum für Malware, darunter auch Ransomware, auf infizierten Rechnern diente. Zu den Ransomware-Programmen von QakBot gehören unter anderem Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta. Die Betreiber von QakBot sollen zwischen Oktober 2021 und April 2023 rund 58 Millionen US-Dollar an Lösegeldzahlungen von Opfern erhalten haben.
Die modulare Schadsoftware wird häufig über Phishing-E-Mails verbreitet und verfügt über Funktionen zur Befehlsausführung und Informationsbeschaffung. QakBot wurde während seiner gesamten Existenz kontinuierlich aktualisiert. Das Justizministerium erklärte, dass mit der Schadsoftware infizierte Computer Teil eines Botnetzes seien, was bedeutet, dass die Täter alle infizierten Computer koordiniert fernsteuern könnten.
Gerichtsdokumenten zufolge griff die Operation auf die QakBot-Infrastruktur zu und leitete den Botnet-Verkehr über FBI-kontrollierte Server um. Ziel war es, die Lieferkette der Kriminellen zu lahmzulegen. Die Server wiesen die infizierten Computer an, ein Deinstallationsprogramm herunterzuladen. Dieses sollte die Rechner aus dem QakBot-Botnetz entfernen und so die Verbreitung weiterer Schadsoftware verhindern.
QakBot hat mit der Zeit immer raffiniertere Methoden entwickelt und seine Taktik schnell an neue Sicherheitsmaßnahmen angepasst. Nachdem Microsoft Makros in allen Office-Anwendungen standardmäßig deaktiviert hatte, begann die Malware Anfang des Jahres, OneNote-Dateien als Infektionsvektor zu nutzen.
Die Raffinesse und Anpassungsfähigkeit der Malware liegt auch in der Nutzung verschiedener Dateiformate wie PDF, HTML und ZIP in der Angriffskette von QakBot. Die meisten Kommando- und Kontrollserver der Malware befinden sich in den USA, Großbritannien, Indien, Kanada und Frankreich, während die Backend-Infrastruktur vermutlich in Russland angesiedelt ist.
QakBot nutzt wie Emotet und IcedID ein dreistufiges Serversystem zur Steuerung und Kommunikation mit der auf infizierten Computern installierten Malware. Der primäre und sekundäre Server dienen in erster Linie der verschlüsselten Kommunikation zwischen infizierten Computern und dem Server der dritten Ebene, der das Botnetz steuert.
Bis Mitte Juni 2023 wurden 853 Tier-1-Server in 63 Ländern identifiziert, wobei Tier-2-Server als Proxys fungierten, um den Hauptkontrollserver zu maskieren. Von Abuse.ch gesammelte Daten zeigen, dass alle QakBot-Server mittlerweile offline sind.
Laut HP Wolf Security gehörte QakBot mit 18 Angriffsketten und 56 Kampagnen auch im zweiten Quartal 2023 zu den aktivsten Malware-Familien. Dies zeigt den Trend, dass kriminelle Gruppen versuchen, Schwachstellen in der Netzwerkabwehr schnell für illegale Gewinne auszunutzen.
[Anzeige_2]
Quellenlink
Kommentar (0)