[English]In einer internationalen Aktion haben das US-FBI sowie Europol zusammen mit lokalen Partnern das Qabot-Netzwerk zerschlagen. Die Aktion gelang, nachdem es Strafverfolgern gelungen war, den PC eines Qakbot-Administrators zu übernehmen. Die infizierten Geräte wurden angewiesen, ein Update zur Deinstallation dieser Malware herunterzuladen und auszuführen. Damit dürften über 700.000 Geräte von diesem Botnet befreit worden sein.
Die Qakbot-Malware
Quakbot, auch als QBot oder Pinkslipbot bekannt, ist eine Malware-Familie, die seit 2007 bekannt bzw. aktiv ist. In der Vergangenheit war Qakbot als Banking-Trojaner bekannt, der Finanzdaten von infizierten Systemen stiehlt. Zudem fungierte Qakbot als Lader (Malware-Dropper), der Malware von C2-Servern auf die Opfersysteme herunterlud.
Die Qakbot-Malware infizierte die Computer der Opfer hauptsächlich über Spam-E-Mails, die bösartige Anhänge oder Links enthielten. Nachdem ein Benutzer den Inhalt heruntergeladen oder angeklickt hatte, lieferte Qakbot zusätzliche Malware – einschließlich Ransomware – auf seinen Computer. Der Computer wurde außerdem Teil eines Botnets (eines Netzwerks aus kompromittierten Computern) und konnte von Botnet-Benutzern ferngesteuert werden. Die ganze Zeit über wussten die Qakbot-Opfer in der Regel nicht, dass ihr Computer infiziert worden war.
Die Qakbot-Malware wurde für Ransomware-Angriffe und andere Cyberkriminalität eingesetzt, die bei Privatpersonen und Unternehmen in verschiedenen Ländern Schäden in Höhe von mehreren hundert Millionen Euro verursachten. Qakbot wurde in den letzten Jahren von vielen Ransomware-Gruppen, darunter Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta zur Infektion von Opfer-Systemen verwendet.
Die Black-Basta-Ransomware-Gruppe benutzte beispielsweise QBot als ersten Einstiegspunkt zur Infektion von Opfersystemen (siehe Erkenntnisse zur Ransomware-Gruppe Black Basta von Palo Alto Networks). Die Ransomware-Akteure erpressten dann ihre Opfer, indem sie Lösegeldzahlungen in Bitcoin fordern, bevor sie den Zugang zu den Computernetzwerken der Opfer wiederherstellen.
Aktion von FBI und Europol
Am 29. August 2023 informierten das FBI und das Justizministerium über eine multinationale Operation mit dem Namen „Duck Hunt“ (Entenjagd) zur Zerschlagung der als Qakbot bekannten Malware und des Botnetzes. Die Aktion, die in den USA, Frankreich, Deutschland, den Niederlanden, Rumänien, Lettland und dem Vereinigten Königreich stattfand, stellt eine der größten von den USA geleiteten Cyberoperationen zur Unterbrechungen einer Botnet-Infrastruktur dar, die von Cyberkriminellen für Ransomware, Finanzbetrug und andere cybergestützte kriminelle Aktivitäten genutzt wurde.
Laut dieser Meldung des US-Justizministeriums verschafften sich die Strafverfolgungsbehörden ab dem 25. August 2023 Zugang zum Qakbot-Botnet. Anschließend leiteten die Spezialisten den Botnet-Verkehr zu Servern um, die von den Strafverfolgungsbehörden kontrolliert wurden. Dann wiesen sie die mit Qakbot infizierten gut 700.000 Computer an, eine Qakbot-Deinstallationsdatei herunterzuladen, die die Qakbot-Malware von dem infizierten Computer deinstallierte.
Die Qakbot-Deinstallationsdatei beseitigte keine andere Malware, die bereits auf den infizierten Computern installiert war. Stattdessen sollte sie verhindern, dass weitere Qakbot-Malware auf dem infizierten Computer installiert wird, indem sie den Opfercomputer vom Qakbot-Botnet trennte. Die Behörden gaben in diesem Dokument auch die Beschlagnahme von mehr als 8,6 Millionen Dollar in Kryptowährung in Form von illegalen Gewinnen bekannt.
Inzwischen wurde bekannt, dass die Qakbot-Malware mehr als 700.000 Computer (200.000 alleine in den USA) von Opfern infizierte, und zu einem Botnet ausbaute. Dieses erleichterte die Verbreitung von Ransomware und verursachte Schäden in Höhe von Hunderten von Millionen Dollar. Die Ermittler haben Beweise dafür gefunden, dass die Qakbot-Administratoren zwischen Oktober 2021 und April 2023 etwa 58 Millionen US-Dollar an Lösegeldern von Opfern erhalten.
Wertvolle technische Unterstützung wurde von dem Unternehmen Zscaler geleistet. Das FBI hat mit der Cybersecurity and Infrastructure Security Agency (CISA), Shadowserver, der Microsoft Digital Crimes Unit, der National Cyber Forensics and Training Alliance und Have I Been Pwned zusammengearbeitet, um bei der Benachrichtigung der Opfer und der Behebung des Problems zu helfen.
Die FBI-Außenstelle Los Angeles, die US-Staatsanwaltschaft für den Central District of California und die Abteilung für Computerkriminalität und geistiges Eigentum (CCIPS) der Strafabteilung führten die Operation in enger Zusammenarbeit mit Eurojust durch. Ermittler und Staatsanwälte aus mehreren Ländern leisteten entscheidende Unterstützung, darunter Europol, das Zentralbüro für Cyberkriminalität der französischen Polizei und die Abteilung für Cyberkriminalität der Pariser Staatsanwaltschaft, das deutsche Bundeskriminalamt und die Generalstaatsanwaltschaft Frankfurt am Main, die niederländische Polizei und Staatsanwaltschaft, die National Crime Agency des Vereinigten Königreichs, die rumänische Polizei und die lettische Staatspolizei. Das Office of International Affairs des Justizministeriums und die FBI-Außenstelle Milwaukee leisteten wichtige Unterstützung.
Die Kollegen von Bleeping Computer haben in diesem Artikel und in diesem Beitrag noch einige Informationen zu den Ermittlungen zusammen getragen. So fanden die Ermittler des FBI auf einem der Computer, der von einem Qakbot-Administrator benutzt wurde, viele Dateien, die mit dem Betrieb des Qakbot-Botnetzes zusammenhängen. Zu diesen Dateien gehörte die Kommunikation (z. B. Chat) zwischen den Qakbot-Administratoren und weiteren Beteiligten, sowie ein Verzeichnis mit mehreren Dateien mit Informationen über virtuelle Geldbörsen. Eine weitere Datei mit dem Namen „payments.txt“, die auf demselben Computer gefunden wurde, enthielt eine Liste von Ransomware-Opfern, Details über die Ransomware-Gruppe, Details über das Computersystem, Daten und einen Hinweis auf den Betrag an BTC, der im Zusammenhang mit dem Ransomware-Angriff an die Qakbot-Administratoren gezahlt wurde
Adressen bei Have I been Pwned
Dem FBI und der niederländischen Polizei gelang es im Rahmen der Aktion zahlreiche Zugangsdaten (E-Mail-Adressen) von Opfern zu identifizieren, die von den Qakbot-Akteuren erbeutet wurden. Das FBI hat diese Zugangsdaten der Website Have I Been Pwned zur Verfügung gestellt. Auf dieser Webseite kann jeder kostenlos prüfen, ob Zugangsdaten (E-Mail-Adresse) durch einen Hack oder andere Aktivitäten erbeutet und abgezogen wurden. Die niederländische Polizei hat ebenfalls eine Website eingerichtet, die Informationen über weitere gefährdete Zugangsdaten enthält.
Eigentlich eine gute Leistung. Da das Internet aber massiv überwacht wird, z.B. muss jeder „Hasskommentar“ innerhalb von Stunden entfernt werden, bleibt die Frage, warum es fast 10 Jahre gedauert hat, diese Malware-Gruppe zu zerschlagen.
Woher nimmst Du die von Dir genannte Zeitspanne? Und wieso machst Du aus der simplen Pflicht eines Dienstbetreibers, seine eigene Bude sauber zu halten (und NUR seine eigene Bude!) ein „da das Internet aber massiv überwacht wird“?
Weil solange kein VIP / Politiker betroffen ist juckt das nicht und hat nur mindere Prioirität!
Haben die Fälle der letzten Jahre ja gezeigt. Ist nen VIP / Politker betroffen geht das in weniger als 48h, beim Pöpel dauert das Jahre oder wird sogar komplett eingestellt.
Bei „so ein Pimmel“ hast du dann auch gleich das SEK früh morgens im Haus ;-P
Naja man muss dem Mob ja zeigen wo sein Platz ist, wo kämen wir den sonst auch hin ;-P
Hasskommentare entfernen und Malware-Gruppen zerschlagen sind 2 völlig verschiedene Dinge.
Um eine Malware-Gruppe zu zerschlagen, musst du erst einmal ermitteln, wer dahinter steckt oder wie in diesem Fall, in das Netzwerk dieser Gruppe eindringen.
Und hier konnte die Zerschlagung nur funktionieren, weil auf einem gehackten Computer viele Infos über das Botnetz etc. einfach so auf der Festplatte abgespeichert waren.
Da war also der Besitzer des Computers schlicht unvorsichtig.
Das war nur ein Beispiel als der Fratzenbuch Hack lief interessierte es auch erst als intime Bilder von VIP veröffentlicht wurden und zack hatten sie den innerhalb einer Woche!
Und die letzten Jahre hatten einige solcher Beispiele als auf einmal VIP / Politiker betroffen waren ging es ganz schnell!
Sehr gut.
Hauptsache wieder einer weniger