Qakbot-Malware
Check Point Analyse der Qakbot-Malware-Gruppe
Am 29. August 2023 gab das US-amerikanische FBI bekannt, dass es die multinationale Cyber-Hacking- und Ransomware-Operation Qakbot (auch bekannt als Qbot) zerschlagen habe, von der weltweit 700 000 Computer betroffen waren, darunter in Finanzinstituten, staatlichen Auftragnehmern und Herstellern medizinischer Geräte. Die Qakbot-Malware infizierte die Opfer über Spam-E-Mails mit betrügerischen Anhängen und Links. Sie diente auch als Plattform für die Betreiber von Ransomware. Sobald der Computer des Opfers geknackt worden war, wurde er Teil des größeren Qakbot-Bot-Netzes, welches weitere Rechner kaperte.
Die Security-Forscher von Check Point wollen abwarten, ob die Abschaltung wirklich erfolgreich war, oder eine Rückkehr geschehen wird, wie einst bei Emotet.
Check Point Research (CPR), die Threat-Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), verfolgt Qakbot und seine Aktivitäten seit Jahren. In diesem Jahr wurde Qakbot im 2023 Mid-Year Security Report als die weltweit am weitesten verbreitete Malware hervorgehoben.
Was ist Qakbot?
Qakbot wurde von osteuropäischen Hackern betrieben und ist seit 2008 aktiv. Es ist die am häufigsten entdeckte Malware, die im ersten Halbjahr 2023 weltweit 11 Prozent der Unternehmensnetzwerke befallen hat.
Qakbot ist besonders trickreich: Es handelt sich um eine Mehrzweck-Malware, die einem Schweizer Taschenmesser ähnelt. Sie ermöglicht Cyber-Kriminellen den direkten Diebstahl von Daten (unter anderem Zugangsdaten zu Finanzkonten, Zahlungskarten), oder von Rechnern, und dient gleichzeitig als Plattform, um die Netzwerke der Opfer mit weiterer Malware und Ransomware zu infizieren. Qakbot wird hauptsächlich über Phishing-E-Mails verbreitet und ist äußerst anpassungsfähig und flexibel, sodass die Malware Sicherheitsmaßnahmen umgehen kann. Sie verwendet bekannte Dateitypen, wie OneNote, PDF, HTML, ZIP, oder LNK, um Nutzer zu täuschen.
Sergey Shykevich, Threat Intelligence Manager bei Check Point Research, erklärt: „Wir verfolgen Qakbot schon seit einiger Zeit und diese Aktion ist ein wichtiger Schritt, um eine große Cybercrime-Operation zu unterbinden. Wir gratulieren dem FBI und seinen Partnern und werden die langfristigen Auswirkungen auf die Hacker-Szene beobachten. Es bleibt abzuwarten, ob es sich um eine vollständige Zerschlagung handelt, oder ob die Betreiber zurückkehren werden. Wir fordern alle auf, sich daher weiterhin über Phishing zu informieren.“
Wie man Ransomware-Angriffe verhindert
Cyber-Attacken und insbesondere Ransomware-Angriffe nehmen zwar zu, aber es ist möglich, ihnen vorzubeugen. Check Point empfiehlt:
- Investition in Phishing-Schulungen, damit Mitarbeiter verschiedene Phishing-Versuche leicht erkennen und melden können. Phishing-E-Mails sind nämlich nach wie vor die erfolgreichste Taktik von Hackern.
- Patches stets installieren, um Systeme auf dem Stand der Technik zu halten. Das stellt sicher, dass sämtliche Computer stets mit dem besten Schutz ausgestattet sind.
- Einsatz von Anti-Ransomware-Lösungen, die kontinuierlich auf verdächtiges Verhalten achten, um Maßnahmen zu ergreifen und die Verschlüsselung zu stoppen, bevor weiterer Schaden entstehen kann.