Frühere Botnetz-Abschaltungen wie Emotet und TrickBot haben gezeigt, dass hochentwickelte Malware-Operationen wie Qakbot die Infrastruktur oft wiederherstellen und nach Störungen in neuer Form zurückkehren können.
Abschaltung und Beschlagnahmung von Qakbot
Im Rahmen einer weltweiten Strafverfolgungsoperation wurde die Infrastruktur des Qakbot-Botnetzes erfolgreich gestört. Damit wurde einem dominanten Akteur in der unterirdischen Lieferkette der Cyberkriminalität ein schwerer – wenn auch wahrscheinlich nur vorübergehender – Schlag versetzt.
Qakbot, besser bekannt als Qbot, ist seit 2007 eine große Cyberbedrohung. Es infiziert die Computer der Opfer, um Finanzinformationen zu stehlen und zusätzliche Malware-Payloads wie Ransomware zu verteilen. Als Ergebnis der Abschaltung wurden weltweit mehr als 700.000 infizierte Geräte identifiziert und von der Malware befreit. Das Justizministerium gab außerdem die Beschlagnahmung von 8,6 Millionen Dollar in Kryptowährung an illegalen Gewinnen bekannt .
Es besteht kein Zweifel daran, dass die Abschaltung von Qakbot einen großen Erfolg im Kampf gegen die Internetkriminalität darstellt. Allerdings dürfte sie im Kampf gegen ein notorisch widerstandsfähiges Ökosystem der Internetkriminalität nur kurzfristig Linderung verschaffen .
„Schweizer Taschenmesser“
Qakbot war ein Schweizer Taschenmesser unter den Cybercrime-Tools und eine komplexe Malware, die Fernzugriff auf die Systeme der Opfer ermöglichte, Anmeldeinformationen und Finanzinformationen stahl und zusätzliche Malware-Payloads herunterlud. Seine modulare Architektur ermöglichte in den über 15 Jahren seines Bestehens häufige Updates, um neue Funktionen hinzuzufügen.
„Die gemeinsamen Bemühungen dieser maßgeblichen Gremien sind ein Beispiel für die Macht eines umfassenden, behördenübergreifenden Ansatzes, der darauf ausgelegt ist, seine Wirkung zu maximieren.“
Qakbot ist für Cyberkriminelle ein vielseitiges Arbeitspferd. Seine Banking-Trojaner-Funktionalität wurde genutzt, um Zahlungsinformationen zu stehlen und Finanztransaktionen abzufangen. Als Loader verteilte er Ransomware wie ProLock, um Opfer zu erpressen.
Qakbot war auch die Grundlage für groß angelegte Spam-E-Mail-Kampagnen und Brute-Force-Angriffe . Durch seine wurmartige Verbreitung blieb es in infizierten Netzwerken verankert. Indem es den Hintertürzugang und den Verbreitungskanal für andere Malware bereitstellte, spielte Qakbot eine wichtige unterstützende Rolle im Ökosystem der Cyberkriminalität. Botnetze wie Emotet und TrickBot funktionierten ähnlich und luden zusätzliche Bedrohungen auf kompromittierte Systeme. Diese Alleskönner-Botnetze haben sich für ihre kriminellen Betreiber als lukrativ erwiesen.
Eine Geschichte vorübergehender Erleichterung
Frühere Abschaltungen von Botnetzen wie Emotet und TrickBot haben gezeigt, dass hochentwickelte Malware-Operationen die Infrastruktur oft wiederherstellen und nach Störungen in neuer Form zurückkehren können.
Im Fall von Emotet ging das Botnetz 2022 mit neuen Techniken wieder online, nachdem seine Infrastruktur 2021 demontiert worden war. Auch TrickBot blieb trotz Abschaltversuchen bestehen und bleibt eine aktive Bedrohung. Diese Widerstandsfähigkeit unterstreicht die Herausforderungen, vor denen die Strafverfolgungsbehörden bei der dauerhaften Beseitigung von Cyberbedrohungen stehen.
Während Abschaltungen die Leistungsfähigkeit vorübergehend beeinträchtigen, passen sich engagierte Cyberkriminelle an, um weitere Störungen zu vermeiden. Außerdem entstehen zwangsläufig neue Malware-Familien, um die Lücken zu füllen, die durch größere Abschaltungen entstanden sind. Beispielsweise erlangten BazarLoader und ZLoader nach der Abschaltung von Emotet als Loader-Malware Bekanntheit.
Doch trotz ihrer Störungen kehren robuste Botnetze oft zurück und es entstehen neue. Nach früheren Maßnahmen gegen Emotet und TrickBot führte die anhaltende Nachfrage auf den Untergrundmärkten dazu, dass sie in angepasster Form wieder auftauchen. Bots bleiben aufgrund ihrer Vielseitigkeit, Automatisierung und ihres Potenzials, Geld zu verdienen, attraktive Werkzeuge für Cyberkriminelle.
Obwohl die Infrastruktur von Qakbot gestört wurde, könnten seine Betreiber versuchen, ihre Techniken wiederherzustellen oder weiterzuentwickeln. Um künftige Angriffe zu verhindern, ist anhaltender Druck auf die Finanzströme des Botnetzes, die Entwicklergemeinschaften und andere Aspekte der Cybercrime-Lieferkette erforderlich. Bislang hat die koordinierte Abschaltung von Qakbot Zeit gewonnen und die Fähigkeiten eines dominanten Cybercrime-Akteurs geschwächt.
Der Kampf gegen Cyberkriminalität muss konsequent und umfassend sein
Die Abschaltung von Qakbot wurde effektiv zwischen Regierungen weltweit koordiniert, darunter Frankreich, Deutschland, Lettland, Rumänien, die Niederlande, Großbritannien und die USA , sowie dem privaten Sektor. Die gemeinsamen Bemühungen dieser maßgeblichen Stellen veranschaulichen die Macht eines umfassenden, behördenübergreifenden Ansatzes, der darauf ausgelegt ist, seine Wirkung zu maximieren.
Strafverfolgungsbehörden und der private Sektor sollten ihre Bemühungen zur Beseitigung von Malware auch künftig koordinieren und sich gleichzeitig auf die frühzeitige Erkennung neuer Malware-Varianten, die Unterbrechung von Kommunikationskanälen und die Verfolgung der Geldspuren krimineller Unternehmen konzentrieren.
Auch die Cyberhygiene und das Bedrohungsbewusstsein in Unternehmen müssen verbessert werden, um die Anfälligkeit für Malware-Infektionen zu verringern, darunter Loader und Trojaner, die Bedrohungen wie Qakbot verbreiten. Technische Kontrollen wie Endpunkterkennung, Netzwerküberwachung und Patching sind ebenfalls von entscheidender Bedeutung.
Mehr lesen: Was ist Deepfake-Technologie und wie nutzen Bedrohungsakteure sie?
Letztendlich erfordert die Bekämpfung der Cyberkriminalität eine umfassende Strategie, die Strafverfolgungsmaßnahmen, Cybersicherheitspraktiken und internationale Zusammenarbeit einschließt. Die Ausschaltung von Qakbot stellt einen bedeutenden Fortschritt dar, doch die Welt muss angesichts einer anpassungsfähigen Bedrohungslandschaft wachsam bleiben.
Holen Sie sich Flashpoint auf Ihre Seite
Flashpoint Ignite ermöglicht es Organisationen, Cyber- und physische Risiken, die Menschen, Orte und Vermögenswerte gefährden könnten, proaktiv zu identifizieren und zu mindern. Um die Leistungsfähigkeit großartiger Bedrohungsinformationen zu nutzen, starten Sie mit einer kostenlosen Flashpoint-Testversion .