Qakbot-Botnetz-Infrastruktur nach internationaler Operation zerschlagen

Veröffentlicht am von

Europol hat die Koordination einer groß angelegten internationalen Operation unterstützt, die die Infrastruktur der Qakbot-Malware zerstört und zur Beschlagnahme von fast 8 Millionen Euro in Kryptowährungen geführt hat. An der internationalen Untersuchung, die auch von Eurojust unterstützt wurde, waren Justiz- und Strafverfolgungsbehörden aus Frankreich, Deutschland, Lettland, den Niederlanden, Rumänien, dem Vereinigten Königreich und den Vereinigten Staaten beteiligt. Qakbot, betrieben von einer Gruppe organisierter Cyberkrimineller, zielte auf kritische Infrastrukturen und Unternehmen in mehreren Ländern ab, stahl Finanzdaten und Anmeldeinformationen. Cyberkriminelle nutzten diese hartnäckige Malware, um Ransomware, Betrug und andere cybergestützte Verbrechen zu begehen.

QakBot.png
Qakbot-Botnetz-Infrastruktur nach internationaler Operation zerschlagen. ©Europol

Seit 2007 aktiv, hat diese weit verbreitete Malware (auch bekannt als QBot oder Pinkslipbot) im Laufe der Zeit verschiedene Techniken verwendet, um Benutzer zu infizieren und Systeme zu kompromittieren. Qakbot drang in die Computer der Opfer ein, indem es Spam-E-Mails mit bösartigen Anhängen oder Hyperlinks verschickte. Einmal auf dem Zielcomputer installiert, ermöglichte die Malware Infektionen mit nachfolgenden Payloads wie Ransomware. Darüber hinaus wurde der infizierte Computer Teil eines Botnetzes (ein Netzwerk kompromittierter Computer), das gleichzeitig von den Cyberkriminellen kontrolliert wurde, meist ohne das Wissen der Opfer. Der Hauptfokus von Qakbot lag jedoch auf dem Diebstahl von Finanzdaten und Anmeldeinformationen aus Webbrowsern.

Wie funktioniert Qakbot?

  1. Das Opfer erhält eine E-Mail mit einem Anhang oder Hyperlink und klickt darauf.
  2. Qakbot täuscht das Opfer, indem es einen legitimen Prozess imitiert, um bösartige Dateien herunterzuladen.
  3. Qakbot führt aus und installiert dann andere Malware, wie z.B. Banking-Trojaner.
  4. Der Angreifer stiehlt dann Finanzdaten, Browserinformationen/Hooks, Tastenanschläge und/oder Anmeldeinformationen.
  5. Andere Malware, wie Ransomware, wird auf dem Computer des Opfers platziert.

Über 700.000 infizierte Computer weltweit

Mehr zum Thema
  • Internationale Zusammenarbeit führt zur Zerschlagung einer Ransomware-Gruppe in der Ukraine
  • Warzone RAT: Globales Netzwerk für Verkauf von Schadsoftware zerschlagen
  • LockBit: Internationale Ermittlungen legen größtes Ransomware-Netzwerk der Welt lahm
  • Ragnar Locker Ransomware-Bande durch internationalen Polizeieinsatz gestoppt

    • Eine Reihe von Ransomware-Gruppen nutzte Qakbot, um eine große Anzahl von Ransomware-Angriffen auf kritische Infrastrukturen und Unternehmen durchzuführen. Die Administratoren des Botnetzes stellten diesen Gruppen gegen Gebühr Zugang zu den infizierten Netzwerken zur Verfügung. Die Untersuchung legt nahe, dass die Administratoren zwischen Oktober 2021 und April 2023 Gebühren in Höhe von fast 54 Millionen Euro an Lösegeldern von den Opfern erhalten haben. Die rechtmäßige Untersuchung der beschlagnahmten Infrastruktur ergab, dass die Malware über 700.000 Computer weltweit infiziert hat. Die Strafverfolgungsbehörden entdeckten Server, die mit Qakbot in fast 30 Ländern in Europa, Süd- und Nordamerika, Asien und Afrika infiziert waren, was die Aktivität der Malware auf globaler Ebene ermöglichte.

    Rolle von Europol und Eurojust

    Im Laufe der Untersuchung erleichterte Europol den Informationsaustausch zwischen den beteiligten Behörden, unterstützte die Koordination der operativen Aktivitäten und finanzierte operative Treffen. Europol bot auch analytische Unterstützung, die verfügbare Daten mit verschiedenen Straffällen innerhalb und außerhalb der EU verknüpfte. Die Joint Cybercrime Action Taskforce (J-CAT) bei Europol unterstützte ebenfalls die Operation. Eurojust erleichterte aktiv die grenzüberschreitende justizielle Zusammenarbeit zwischen den beteiligten nationalen Behörden. Die Agentur veranstaltete im Juli 2023 ein Koordinationstreffen, um den Austausch von Beweismitteln zu erleichtern und sich auf diese gemeinsame Operation vorzubereiten.

    Beteiligte Strafverfolgungs- und Justizbehörden

    • Frankreich: Nationalpolizei (Police Nationale) und Nationalgendarmerie (Gendarmerie Nationale)
    • Deutschland: Bundeskriminalamt
    • Lettland: Staatliche Polizei (Valsts policija)
    • Niederlande: Nationalpolizei (Politie)
    • Rumänien: Rumänische Polizei (Poliția Română)
    • Vereinigtes Königreich: National Crime Agency
    • Vereinigte Staaten: Federal Bureau of Investigation (US FBI)

    Beteiligte Justizbehörden

    • Frankreich: Nationale Gerichtsbarkeit gegen organisiertes Verbrechen (JUNALCO), Staatsanwaltschaft Cybercrime Unit
    • Deutschland: Generalstaatsanwaltschaft Frankfurt am Main – Cyber Crime Centre
    • Niederlande: Nationale Staatsanwaltschaft Rotterdam
    • Vereinigte Staaten: US-Staatsanwaltschaft für den Central District of California und die Abteilung für Computerkriminalität und geistiges Eigentum des Justizministeriums
    Europol
    Letzte Artikel von Europol (Alle anzeigen)