Laut The Hacker News handelt es sich bei QakBot um eine berüchtigte Windows-Malware-Variante, die Schätzungen zufolge weltweit über 700.000 Computer befallen hat und sowohl Finanzbetrug als auch Ransomware ermöglicht.
Das US-Justizministerium teilte mit, dass die Schadsoftware derzeit von den Computern der Opfer entfernt werde, um weiteren Schaden zu verhindern. Zudem hätten die Behörden illegale Kryptowährungen im Wert von über 8,6 Millionen US-Dollar beschlagnahmt.
An der grenzüberschreitenden Operation waren Frankreich, Deutschland, Lettland, Rumänien, die Niederlande, das Vereinigte Königreich und die USA beteiligt, mit technischer Unterstützung des Cybersicherheitsunternehmens Zscaler. Es handelte sich um die umfangreichste Aktion unter US-Führung gegen die von Cyberkriminellen genutzte Botnetz-Infrastruktur; Festnahmen wurden allerdings nicht bekannt gegeben.
QakBots Botnet-Kontrollmodell
QakBot, auch bekannt als QBot und Pinkslipbot, begann 2007 als Banking-Trojaner, bevor es zu einer Verteilungszentrale für Malware auf infizierten Rechnern wurde, darunter auch Ransomware. Zu der Ransomware von QakBot gehören unter anderem Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta. Es wird angenommen, dass die Betreiber von QakBot zwischen Oktober 2021 und April 2023 Lösegeldzahlungen in Höhe von rund 58 Millionen US-Dollar von Opfern erhalten haben.
Diese modulare Schadsoftware wird häufig über Phishing-E-Mails verbreitet und verfügt über Funktionen zur Befehlsausführung und Informationsbeschaffung. QakBot wurde während seiner gesamten Existenz kontinuierlich aktualisiert. Das US-Justizministerium erklärte, die mit der Schadsoftware infizierten Computer seien Teil eines Botnetzes gewesen, was bedeute, dass die Täter alle infizierten Computer auf koordinierte Weise fernsteuern konnten.
Gerichtsunterlagen zufolge erfolgte im Rahmen der Operation ein Zugriff auf die Infrastruktur von QakBot, die den Botnet-Verkehr über vom FBI kontrollierte Server umleiten konnte, mit dem ultimativen Ziel, die kriminelle Lieferkette zu lahmzulegen. Die Server wiesen die infizierten Computer an, ein Deinstallationsprogramm herunterzuladen, das die Rechner aus dem QakBot-Botnetz entfernt und so die Verbreitung weiterer Malware-Komponenten wirksam verhindert.
QakBot hat mit der Zeit eine immer ausgefeiltere Technik an den Tag gelegt und ändert seine Taktik rasch, um auf neue Sicherheitsmaßnahmen zu reagieren. Nachdem Microsoft Makros in allen Office-Anwendungen standardmäßig deaktiviert hatte, begann die Malware Anfang des Jahres, OneNote-Dateien als Infektionsvektor zu verwenden.
Die Raffinesse und Anpassungsfähigkeit liegt auch in der Nutzung mehrerer Dateiformate wie PDF, HTML und ZIP als Waffe in der Angriffskette von QakBot. Die meisten Befehls- und Kontrollserver der Schadsoftware befinden sich in den USA, Großbritannien, Indien, Kanada und Frankreich, während sich die unterstützende Infrastruktur vermutlich in Russland befindet.
QakBot verwendet wie Emotet und IcedID ein dreistufiges Serversystem zur Steuerung und Kommunikation mit der auf infizierten Computern installierten Malware. Der Hauptzweck der Server der Stufen 1 und 2 besteht darin, Nachrichten mit verschlüsselten Daten zwischen infizierten Computern und den Servern der Stufe 3, die das Botnetz steuern, weiterzuleiten.
Bis Mitte Juni 2023 wurden 853 Tier-1-Server in 63 Ländern identifiziert, wobei Tier-2-Server als Proxys fungieren, um den Hauptkontrollserver zu maskieren. Von Abuse.ch gesammelte Daten zeigen, dass alle QakBot-Server jetzt offline sind.
Laut HP Wolf Security war QakBot mit 18 Angriffsketten und 56 Kampagnen auch im zweiten Quartal 2023 eine der aktivsten Malware-Familien. Es zeigt den Trend, dass kriminelle Gruppen versuchen, Schwachstellen in Cyberabwehrsystemen schnell für illegale Gewinne auszunutzen.
[Anzeige_2]
Quellenlink
Kommentar (0)