{"id":285419,"date":"2023-08-30T01:42:38","date_gmt":"2023-08-29T23:42:38","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=285419"},"modified":"2023-09-11T23:13:15","modified_gmt":"2023-09-11T21:13:15","slug":"fbi-und-europol-zerschlagen-mit-partnern-das-qakbot-netzwerk","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/08\/30\/fbi-und-europol-zerschlagen-mit-partnern-das-qakbot-netzwerk\/","title":{"rendered":"FBI und Europol zerschlagen mit Partnern das Qakbot-Netzwerk"},"content":{"rendered":"

\"Sicherheit[English<\/a>]In einer internationalen Aktion haben das US-FBI sowie Europol zusammen mit lokalen Partnern das Qabot-Netzwerk zerschlagen. Die Aktion gelang, nachdem es Strafverfolgern gelungen war, den PC eines Qakbot-Administrators zu \u00fcbernehmen.\u00a0 Die infizierten Ger\u00e4te wurden angewiesen, ein Update zur Deinstallation dieser Malware herunterzuladen und auszuf\u00fchren. Damit d\u00fcrften \u00fcber 700.000 Ger\u00e4te von diesem Botnet befreit worden sein.<\/p>\n

<\/p>\n

Die Qakbot-Malware<\/h2>\n

\"\"Quakbot, auch als\u00a0 QBot oder Pinkslipbot bekannt, ist eine Malware-Familie, die seit 2007 bekannt bzw. aktiv ist. In der Vergangenheit war Qakbot als Banking-Trojaner bekannt, der Finanzdaten von infizierten Systemen stiehlt. Zudem fungierte Qakbot als Lader (Malware-Dropper), der Malware von C2-Servern auf die Opfersysteme herunterlud.<\/p>\n

Die Qakbot-Malware infizierte die Computer der Opfer haupts\u00e4chlich \u00fcber Spam-E-Mails, die b\u00f6sartige Anh\u00e4nge oder Links enthielten. Nachdem ein Benutzer den Inhalt heruntergeladen oder angeklickt hatte, lieferte Qakbot zus\u00e4tzliche Malware – einschlie\u00dflich Ransomware – auf seinen Computer. Der Computer wurde au\u00dferdem Teil eines Botnets (eines Netzwerks aus kompromittierten Computern) und konnte von Botnet-Benutzern ferngesteuert werden. Die ganze Zeit \u00fcber wussten die Qakbot-Opfer in der Regel nicht, dass ihr Computer infiziert worden war.<\/p>\n

Die Qakbot-Malware wurde f\u00fcr Ransomware-Angriffe und andere Cyberkriminalit\u00e4t eingesetzt, die bei Privatpersonen und Unternehmen in verschiedenen L\u00e4ndern Sch\u00e4den in H\u00f6he von mehreren hundert Millionen Euro verursachten. Qakbot wurde in den letzten Jahren von vielen Ransomware-Gruppen, darunter Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta zur Infektion von Opfer-Systemen verwendet.<\/p>\n

Die Black-Basta-Ransomware-Gruppe benutzte beispielsweise QBot als ersten Einstiegspunkt zur Infektion von Opfersystemen (siehe Erkenntnisse zur Ransomware-Gruppe Black Basta von Palo Alto Networks<\/a>). Die Ransomware-Akteure erpressten dann ihre Opfer, indem sie L\u00f6segeldzahlungen in Bitcoin fordern, bevor sie den Zugang zu den Computernetzwerken der Opfer wiederherstellen.<\/p>\n

Aktion von FBI und Europol<\/h2>\n

Am 29. August 2023 informierten<\/a> das FBI und das Justizministerium \u00fcber eine multinationale Operation mit dem Namen \"Duck Hunt\" (Entenjagd) zur Zerschlagung der als Qakbot bekannten Malware und des Botnetzes. Die Aktion, die in den USA, Frankreich, Deutschland, den Niederlanden, Rum\u00e4nien, Lettland und dem Vereinigten K\u00f6nigreich stattfand, stellt eine der gr\u00f6\u00dften von den USA geleiteten Cyberoperationen zur Unterbrechungen einer Botnet-Infrastruktur dar, die von Cyberkriminellen f\u00fcr Ransomware, Finanzbetrug und andere cybergest\u00fctzte kriminelle Aktivit\u00e4ten genutzt wurde.<\/p>\n

Laut dieser Meldung<\/a> des US-Justizministeriums verschafften sich die Strafverfolgungsbeh\u00f6rden ab dem 25. August 2023 Zugang zum Qakbot-Botnet. Anschlie\u00dfend leiteten die Spezialisten den Botnet-Verkehr zu Servern um, die von den Strafverfolgungsbeh\u00f6rden kontrolliert wurden. Dann wiesen sie die mit Qakbot infizierten gut 700.000 Computer an, eine Qakbot-Deinstallationsdatei herunterzuladen, die die Qakbot-Malware von dem infizierten Computer deinstallierte.<\/p>\n

Die Qakbot-Deinstallationsdatei beseitigte keine andere Malware, die bereits auf den infizierten Computern installiert war. Stattdessen sollte sie verhindern, dass weitere Qakbot-Malware auf dem infizierten Computer installiert wird, indem sie den Opfercomputer vom Qakbot-Botnet trennte. Die Beh\u00f6rden gaben in diesem Dokument<\/a> auch die Beschlagnahme von mehr als 8,6 Millionen Dollar in Kryptow\u00e4hrung in Form von illegalen Gewinnen bekannt.<\/p>\n

Inzwischen wurde bekannt, dass die Qakbot-Malware mehr als 700.000 Computer (200.000 alleine in den USA) von Opfern infizierte, und zu einem Botnet ausbaute. Dieses erleichterte die Verbreitung von Ransomware und verursachte Sch\u00e4den in H\u00f6he von Hunderten von Millionen Dollar. Die Ermittler haben Beweise daf\u00fcr gefunden, dass die Qakbot-Administratoren zwischen Oktober 2021 und April 2023 etwa 58 Millionen US-Dollar an L\u00f6segeldern von Opfern erhalten.<\/p>\n

Wertvolle technische Unterst\u00fctzung wurde von dem Unternehmen Zscaler geleistet. Das FBI hat mit der Cybersecurity and Infrastructure Security Agency (CISA), Shadowserver, der Microsoft Digital Crimes Unit, der National Cyber Forensics and Training Alliance und Have I Been Pwned zusammengearbeitet, um bei der Benachrichtigung der Opfer und der Behebung des Problems zu helfen.<\/p>\n

Die FBI-Au\u00dfenstelle Los Angeles, die US-Staatsanwaltschaft f\u00fcr den Central District of California und die Abteilung f\u00fcr Computerkriminalit\u00e4t und geistiges Eigentum (CCIPS) der Strafabteilung f\u00fchrten die Operation in enger Zusammenarbeit mit Eurojust durch. Ermittler und Staatsanw\u00e4lte aus mehreren L\u00e4ndern leisteten entscheidende Unterst\u00fctzung, darunter Europol, das Zentralb\u00fcro f\u00fcr Cyberkriminalit\u00e4t der franz\u00f6sischen Polizei und die Abteilung f\u00fcr Cyberkriminalit\u00e4t der Pariser Staatsanwaltschaft, das deutsche Bundeskriminalamt und die Generalstaatsanwaltschaft Frankfurt am Main, die niederl\u00e4ndische Polizei und Staatsanwaltschaft, die National Crime Agency des Vereinigten K\u00f6nigreichs, die rum\u00e4nische Polizei und die lettische Staatspolizei. Das Office of International Affairs des Justizministeriums und die FBI-Au\u00dfenstelle Milwaukee leisteten wichtige Unterst\u00fctzung.<\/p>\n

Die Kollegen von Bleeping Computer haben in diesem Artikel<\/a> und in diesem Beitrag<\/a> noch einige Informationen zu den Ermittlungen zusammen getragen. So fanden die Ermittler des FBI auf einem der Computer, der von einem Qakbot-Administrator benutzt wurde, viele Dateien, die mit dem Betrieb des Qakbot-Botnetzes zusammenh\u00e4ngen. Zu diesen Dateien geh\u00f6rte die Kommunikation (z. B. Chat) zwischen den Qakbot-Administratoren und weiteren Beteiligten, sowie ein Verzeichnis mit mehreren Dateien mit Informationen \u00fcber virtuelle Geldb\u00f6rsen. Eine weitere Datei mit dem Namen \"payments.txt\", die auf demselben Computer gefunden wurde, enthielt eine Liste von Ransomware-Opfern, Details \u00fcber die Ransomware-Gruppe, Details \u00fcber das Computersystem, Daten und einen Hinweis auf den Betrag an BTC, der im Zusammenhang mit dem Ransomware-Angriff an die Qakbot-Administratoren gezahlt wurde<\/p>\n

Adressen bei Have I been Pwned<\/h2>\n

Dem FBI und der niederl\u00e4ndischen Polizei gelang es im Rahmen der Aktion zahlreiche Zugangsdaten (E-Mail-Adressen) von Opfern zu identifizieren, die von den Qakbot-Akteuren erbeutet wurden. Das FBI hat diese Zugangsdaten der Website Have I Been Pwned<\/a> zur Verf\u00fcgung gestellt. Auf dieser Webseite kann jeder kostenlos pr\u00fcfen, ob Zugangsdaten (E-Mail-Adresse) durch einen Hack oder andere Aktivit\u00e4ten erbeutet und abgezogen wurden. Die niederl\u00e4ndische Polizei hat ebenfalls eine Website<\/a> eingerichtet, die Informationen \u00fcber weitere gef\u00e4hrdete Zugangsdaten enth\u00e4lt.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]In einer internationalen Aktion haben das US-FBI sowie Europol zusammen mit lokalen Partnern das Qabot-Netzwerk zerschlagen. Die Aktion gelang, nachdem es Strafverfolgern gelungen war, den PC eines Qakbot-Administrators zu \u00fcbernehmen.\u00a0 Die infizierten Ger\u00e4te wurden angewiesen, ein Update zur Deinstallation dieser … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-285419","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=285419"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/285419\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=285419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=285419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=285419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}