Zum Inhalt springen
SecTepe Mit Sicherheit gut aufgestellt!
EN
Threat Intelligence

Qakbot: Das größte Botnetz hat sein Ende erreicht!

SecTepe Redaktion
|
|
4 Min. Lesezeit

Über 700.000 infizierte Rechner, 40 große Ransomware-Angriffe, 58 Millionen US-Dollar Schaden – das war die Bilanz von Qakbot vor dem Zugriff der Ermittler. Die Operation „Duck Hunt" unter FBI-Federführung und in Zusammenarbeit mit Europol und BKA hat die Infrastruktur übernommen und die Malware auf den Opfer-Rechnern entfernt. Der Fall zeigt, wie moderne Botnetze arbeiten – und warum die Geschichte damit nicht zu Ende ist.

Wer oder was ist Qakbot?

Qakbot (auch Qbot, Pinkslipbot) ist ein seit 2008 aktiver Banking-Trojaner, der sich zu einem Malware-as-a-Service-Plattform entwickelt hat. Er dient als initialer Zugangspunkt in Opfer-Netzwerke und wurde von mehreren Ransomware-Gruppen für den „Eintritt" in fremde Netze eingekauft.

Eckdaten der Operation Duck Hunt

  • Qakbot belieferte Ransomware-Gruppen wie Conti, ProLock, Egregor und REvil mit Erstzugängen.
  • Opfer reichten von US-Finanzinstituten bis zu Medizintechnik-Herstellern weltweit.
  • Rund 9 Millionen US-Dollar in Kryptowährung wurden beschlagnahmt.
  • Auf infizierten Rechnern wurde die Malware remote deinstalliert – ein international koordiniertes Vorgehen.

Was können Sie tun, um zu prüfen, ob Sie betroffen sind?

  • Prüfen Sie Ihre E-Mail-Adresse bei Have I Been Pwned und dem Check-Portal der niederländischen Nationalpolizei.
  • Werten Sie Endpoint-Logs auf typische Qakbot-Indikatoren aus (Persistenz in %AppData%, ungewöhnliche regsvr32-/rundll32-Aufrufe, verdächtige DNS-Lookups).
  • Im Zweifel: forensische Analyse, nicht nur „Virus entfernt" – siehe unseren Artikel zu DFIR.

Update: Qakbot ist zurück

Trotz der erfolgreichen Operation tauchte Qakbot wenig später wieder auf – mit angepasster Infrastruktur, neuen Tarntechniken und weiter ausgebauten Phishing-Ketten. Das unterstreicht ein ungeliebtes Muster: Takedowns zerschlagen Infrastruktur, nicht die Akteure. Wer Quellcode, Know-how und Partnernetzwerke hat, baut die Operation neu auf.

Worauf aktuell zu achten ist

  • Neue Auslieferungsketten: HTML-Smuggling, OneNote-Anhänge, LNK-Dateien statt Office-Makros.
  • Verbesserte Tarnung: Längere Schlafphasen, Sandbox-Erkennung, stärkere Verschlüsselung der Kommunikation.
  • Partnerschaften: Übergabe an Ransomware-Gruppen weiterhin das Kerngeschäft.
  • Globale Verteilung: Keine Konzentration auf einzelne Regionen oder Sektoren.

Präventive Maßnahmen

  • Aktuelle EDR-Lösung auf allen Endpoints; Verhaltenserkennung statt reiner Signatur.
  • Office-Makros restriktiv konfigurieren, LNK- und ISO-Anhänge in der E-Mail-Gateway-Policy blockieren.
  • Multi-Faktor-Authentifizierung für alle privilegierten und remote verfügbaren Accounts.
  • Regelmäßige, rollenbasierte Awareness-Schulungen und Phishing-Simulationen.
  • Offline- und immutable Backups, getestete Restore-Szenarien.
  • Incident-Response-Playbooks für Ransomware vorbereitet halten.

Fazit

Die Rückkehr von Qakbot ist die unangenehme Lektion aus Duck Hunt: Takedowns sind wichtig, aber sie lösen das Problem nicht endgültig. Verteidigung bleibt ein kontinuierlicher Prozess – Prävention, Detection und Reaktion zusammengenommen. Wer den Perimeter, die Endgeräte und die Mitarbeitenden gleichermaßen im Blick hat, schlägt die nächste Welle nicht nur weg, sondern sieht sie früher.

Alle Artikel ansehen