Nach Zerschlagung durch das FBI: Qakbot-Hacker wohl noch immer aktiv
Die Hacker hinter dem im August 2023 vom FBI im Rahmen einer internationalen Strafverfolgungsoperation namens Duck Hunt zerschlagenen Qakbot-Botnetzes sind wohl noch immer aktiv. Sicherheitsforscher von Cisco Talos bringen die Gruppe mit einer seit Anfang August 2023 laufenden Kampagne in Verbindung, bei der eine als Ransom Knight bekannte Ransomware sowie eine Backdoor namens Remcos über Phishingmails verbreitet werden.
"Diese Aktivitäten begannen offenbar, bevor das FBI Ende August die Qakbot-Infrastruktur beschlagnahmte, und dauern seither an" , erklären die Forscher in ihrem Bericht(öffnet im neuen Fenster) . Das sei ein Hinweis darauf, dass es den Strafverfolgern möglicherweise nicht gelang, die Infrastruktur abzuschalten, die die Angreifer für den Spamversand nutzen. Stattdessen habe das FBI wohl nur die Command-and-Control-Server (C2) der Qakbot-Hacker unschädlich gemacht.
Qakbot selbst ist noch nicht wieder aufgetaucht
Die Qakbot-Malware selbst wurde wohl nach der Zerschlagung des Botnetzes nicht mehr verbreitet. Dennoch gehen die Forscher davon aus, dass die Schadsoftware auch künftig wieder an Relevanz gewinnen könnte, da die Akteure dahinter offensichtlich nicht verhaftet wurden. Somit wäre es ihnen möglich, die Qakbot-Infrastruktur neu aufzubauen.
Die Verbindung zwischen der jüngsten Phishing-Kampagne und der Qakbot-Malware stellten die Forscher über Metadaten von verbreiteten Linkdateien her, bei denen es Übereinstimmungen mit Metadaten gab, die im Zusammenhang mit früheren Qakbot-Kampagnen beobachtet wurden. Folglich sei mit mäßiger Sicherheit davon auszugehen, dass die gleichen Akteure dahinterstecken. Auch bezüglich der verwendeten Dateinamen gebe es gewisse Parallelen.
Angreifer ködern auch mit deutschsprachigen Dateien
Bei Ransom Knight handelt es sich wohl um eine aktualisierte Version der Cyclops-Ransomware, wobei beide laut Cisco Talos im Rahmen sogenannter Ransomware-as-a-Service-Angebote zum Einsatz kommen. Die Forscher gehen davon aus, dass die Qakbot-Hacker Ransom Knight nicht selber entwickelt haben, sondern lediglich Kunden des Dienstes sind.
Einige der bösartigen Dateien, die die Hacker im Rahmen der Kampagne in Umlauf bringen, sind in italienischer Sprache verfasst. Techcrunch(öffnet im neuen Fenster) hat der Talos-Forscher Guilherme Venere allerdings erklärt, dass es auch englisch- und deutschsprachige Exemplare gibt. Auch der Infostealer Redline sowie die Darkgate-Backdoor gehören zu den Werkzeugen der Angreifer.
Wie das FBI im Rahmen der Qakbot-Zerschlagung im August mitteilte, haben es die Hacker zuletzt vornehmlich auf Finanzinstitute, kritische Infrastrukturen und Hersteller medizinischer Geräte abgesehen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.