Das Justizministerium der Vereinigten Staaten führte in Zusammenarbeit mit internationalen Partnern eine groß angelegte Operation zur Zerschlagung des Qakbot-Botnetzes und der Malware durch, die weltweit über 700.000 Computer infiziert hatte. Die Operation erstreckte sich über mehrere Länder, darunter die Vereinigten Staaten, Frankreich, Deutschland, die Niederlande, das Vereinigte Königreich, Rumänien und Lettland. Ziel der Operation war es, den Qakbot-Schadcode von den Computern der Opfer zu entfernen und seine Infrastruktur zu zerschlagen.

Was ist passiert? Die wichtigsten Erkenntnisse.

Unterbrechung des Botnetzes:
Qakbot, auch bekannt als "Qbot" oder "Pinkslipbot", wurde von Cyberkriminellen genutzt, um weltweit kritische Branchen anzugreifen. Er infizierte Computer hauptsächlich über Spam-E-Mails mit bösartigen Anhängen oder Hyperlinks. Sobald er infiziert war, konnte er weitere Malware, einschließlich Ransomware, verbreiten. Mehrere berüchtigte Ransomware-Gruppen wie Conti, ProLock und REvil nutzten Qakbot für Erstinfektionen.

Auswirkungen von Ransomware: Ransomware-Angriffe im Zusammenhang mit Qakbot haben Unternehmen, Gesundheitsdienstleistern und Regierungsbehörden weltweit erheblichen Schaden zugefügt. Diese Angriffe führten zu erheblichen finanziellen Verlusten, darunter etwa 58 Millionen US-Dollar an Lösegeld, die von den Opfern zwischen Oktober 2021 und April 2023 gezahlt wurden.

Deinstallation von Qakbot: Im Rahmen der Zerschlagung verschaffte sich das FBI Zugang zur Infrastruktur von Qakbot und identifizierte infizierte Computer weltweit, darunter mehr als 200.000 in den Vereinigten Staaten. Das FBI leitete den Qakbot-Datenverkehr auf Server unter seiner Kontrolle um und wies die infizierten Computer an, ein von den Strafverfolgungsbehörden erstelltes Deinstallationsprogramm herunterzuladen. Diese Aktion zielte darauf ab, Qakbot von den Computern der Opfer zu entfernen und weitere Malware-Installationen zu verhindern.

Kollaboration: Bei der Aktion wurde mit verschiedenen Organisationen zusammengearbeitet, darunter Zscaler, die Cybersecurity and Infrastructure Security Agency, Shadowserver, Microsoft Digital Crimes Unit, die National Cyber Forensics and Training Alliance und Have I Been Pwned. Die internationale Zusammenarbeit war von entscheidender Bedeutung, da Behörden und Ämter aus mehreren Ländern an den Bemühungen beteiligt waren.

Unterstützung der Opfer: Es wurden Anstrengungen unternommen, um die von Qakbot betroffenen Opfer zu informieren und zu unterstützen. Ressourcen und Informationen für die Opfer wurden über eine spezielle Website zur Verfügung gestellt.

Insgesamt war diese Operation ein wichtiger Schritt bei der Zerschlagung eines großen cyberkriminellen Netzwerks, das für Ransomware-Angriffe und Finanzbetrug verantwortlich ist, wobei der Schwerpunkt auf dem Schutz der Opfer und der Verhinderung weiteren Schadens lag.

In Deutschland wurde bereits seit dem Sommer 2022 ermittelt.

Doch was heißt das nun für die Betroffenen? Und wie finde ich nun heraus, ob ich betroffen bin oder war?

Ab dem 25. August 2023 verschafften sich die Strafverfolgungsbehörden Zugang zum Qakbot-Botnet, leiteten den Botnet-Verkehr zu und über die von den Strafverfolgungsbehörden kontrollierten Server um und wiesen die mit Qakbot infizierten Computer an, eine Qakbot-Deinstallationsdatei herunterzuladen, die die Qakbot-Malware von dem infizierten Computer deinstallierte. Die Qakbot-Deinstallationsdatei beseitigte keine andere Malware, die bereits auf den infizierten Computern installiert war. Stattdessen sollte sie verhindern, dass weitere Qakbot-Malware auf dem infizierten Computer installiert wird, indem sie den Opfercomputer vom Qakbot-Botnet trennte.

Wir haben spezielle Detection-Rules in unserem Security Operation Center erarbeitet, um zu identifizieren, ob eine Qakbot-Infizierung vorlag. Der Hash-Wert für die Deinstallationsdatei ist mittlerweile öffentlich: 

Hash-Wert für die Qakbot-Deinstallationsdatei (SHA-256):
7cdee5a583eacf24b1f142413aabb4e556ccf4ef3a4764ad084c1526cc90e117

Was muss ich noch wissen?

Naja, die Qakbot-Netze wurden zerschlagen, aber die Verantwortlichen wurden nicht gefasst. D.h. theoretisch könnte es so laufen wie so oft zu vor schon: Es wird neue Organisationen geben, die ähnliche Mechanismen, aber einen anderen Namen nutzen. Deshalb bleibt in jedem Falle wachsam und prüft eure Infrastrukturen.