Ende August ist es internationalen Strafverfolgungsbehörden unter der Führung des FBI gelungen, das Qakbot-Botnetz zu zerschlagen – vorerst. Die Infrastruktur diente Cyberkriminellen dazu, Ransomware zu verteilen. Laut heise.de hatten sich die Strafverfolger rechtmäßig Zugang zur Infrastruktur verschafft und mehr als 700.000 infizierte Computer ausgemacht.
In einer konzertierten Aktion wurde die Serverinfrastruktur übernommen, die sich nach Angaben des Bundeskriminalamt (BKA) und der Zentralstelle zur Bekämpfung von Internetkriminalität (ZIT) in Deutschland befand. Die Betreiber und Administratoren seien allerdings bislang unbekannt. „Qakbot“, auch als „Qbot“ bekannt, gilt als eine der gefährlichsten Schadsoftwares weltweit. Das BKA schätzt den Schaden, der auf die Malware zurückgeht, auf weltweit mehrere Hundert Millionen Euro. Im Visier der Cyberkriminellen waren und sind bevorzugt Unternehmen, Einrichtungen im Gesundheitswesen und Regierungsbehörden. Infiziert wurden die Rechner beispielsweise durch schadhafte E-Mail-Anhänge.
Das deckt sich mit den Ergebnissen des jüngsten Berichts der Sicherheitsforscher der VIPRE Security Group. Der vierteljährlich erscheinende “ VIPRE Q2 Email Security Report” basiert auf der Analyse von rund 2 Milliarden E-Mails. Diese Datengrundlage erlaubt einen tiefergehenden Einblick in die aktuelle E-Mail-Bedrohungslandschaft: Demnach enthielten 58 % der bösartigen E-Mails gefälschte Inhalte, 67 % der Spam-E-Mails im 2. Quartal haben ihren Ursprung in den USA und Qakbot war die führende Malware-Familie.
Phishing-E-Mails bleiben einer der wichtigsten Angriffsvektoren
Für Cyberkriminelle sind Finanzinstitute und Bildungseinrichtungen gleichermaßen als Ziel interessant, weil beide mit enormen Mengen sensibler Daten hantieren. Im Gesundheitswesen ist es umso dringlicher, die geschäftliche Kontinuität aufrechtzuerhalten. Das macht die Branche zu einem beliebten Ziel für Ransomware-Angriffe, weil angesichts dessen die Wahrscheinlichkeit steigt, dass ein Lösegeld bezahlt wird. Unternehmen, die viel mit IT-Technologie zu tun haben, gehören im zweiten Quartal 2023 mit knapp einem Drittel aller Phishing-/Spam-Mails zu den am stärksten gefährdeten Branchen. Danach folgen Behörden und Bildungseinrichtungen mit über 20 Prozent.
Cyberkriminelle arbeiten zudem daran, Phishing-Links zu verbessern. In Q2/2023 verwenden immer mehr Phishing-Mails eine URL-Umleitung, um das wahre Ziel der Phishing-Seite zu verschleiern.
Gefährlich sind solche Weiterleitungen auch deshalb, weil nicht alle Sicherheitsprogramme die Ziellinks überprüfen. Darüber hinaus nutzen die Betrüger zunehmend legitime und vertrauenswürdige URLs zum Hosten von Phishing-Seiten. Dadurch lassen sich E-Mail-Filter oder URL-Reputation-Technologien umgehen.
Angesichts dessen ist es offensichtlich, dass Phishing auch weiterhin einer der wichtigsten Angriffsvektoren bleiben wird. Wie aber lässt sich feststellen, ob ein Gerät mit der Qakbot-Malware infiziert ist, wie kommt es, dass die weitaus meisten Opfer sich nicht bewusst sind, dass ihre Systeme überhaupt betroffen sind, und wie gelingt es Qakbot so lange unentdeckt zu bleiben?
Diese und weitere Fragen beantworten Mark Edison Cabel, Malware Researcher, und Farrel Moje, Malware Research Engineer bei VIPRE:
Wie erkennt man, ob ein Rechner mit der Malware infiziert ist?
Mark Edison Cabel/Farrel Moje: „Es gibt verschiedene Anzeichen, an denen man erkennen kann, dass ein System mit einer Malware infiziert sein könnte. So verschlechtert sich beispielsweise die Leistung. Malware verbraucht viel Speicherplatz, was dazu führen kann, dass der Rechner langsamer wird. Gleichzeitig bekommen die Benutzer eine wachsende Zahl unerwünschter Popups und Anzeigen zu sehen. Ein weiteres Anzeichen kann ein deaktiviertes Antiviren-Programm sein. Einige Malware-Arten prüfen, ob eine Antiviren-Software installiert ist. Diese wird anschließend deaktiviert, bevor die Infektionsroutine startet. Der nächste Schritt sind dann möglicherweise gesperrte Dateien und die üblichen Lösegeldforderungen, oft in Bitcoin. Zudem werden einige Latenzprobleme bei der Internetverbindung durch Malware verursacht, etwa durch die Beteiligung von Botnetzen. Auch merkwürdig anmutende Programme geben Hinweise auf eine Schadsoftware. Malware verbirgt sich nicht selten an ungewöhnlichen Orten auf einem Rechner und wird ohne Wissen der Nutzer im Hintergrund ausgeführt.“
Wieso wissen die meisten der Betroffenen nicht, dass ihr Gerät infiziert ist?
Mark Edison Cabel/Farrel Moje: „Malware bedient sich unterschiedlicher Methoden, um so lange wie möglich unentdeckt zu bleiben. Sie beginnt ihre Reise, indem sie sich beispielsweise über Spam-E-Mails oder bösartige URLs verbreitet und schließlich auf dem Computer des Opfers ausgeführt wird. Eine der gängigen Methoden bei Angriffsvektoren wie Spam-E-Mails sind verschiedene Social-Engineering-Taktiken. Sie nutzen dazu bekannte Markennamen, Informationen aus sozialen Medien, Bankdaten oder tarnen sich sogar als Teil einer laufenden E-Mail-Konversation. Das Ziel ist bekanntermaßen, die Nutzer zum Herunterladen manipulierter/verseuchter Anhänge zu verleiten.
Wenn es um bösartige URLs geht, greifen Cyberkriminelle gerne auf das Spoofing bekannter Marken zurück, und das inzwischen sehr überzeugend. Dabei wird den potenziellen Opfern vorgegaukelt, dass es sich entweder um eine legitime URL handelt oder Cyberkriminelle verwenden eine neu registrierte Domain. Zudem nutzt Malware verschiedene Techniken, wie etwa Process Injection, um Schadcode innerhalb des Adressraums legitimer Prozesse zu verstecken. Unter Umständen verhält sich eine Malware auch zunächst unauffällig, zeigt also keinerlei der typischen Anzeichen einer Infektion und wird erst mit zeitlicher Verzögerung ausgeführt.
Schlussendlich verfügen bei weitem nicht alle Nutzer über das nötige technische Fachwissen, um zuverlässig zu erkennen, wenn ein Rechner Anzeichen eines Malware-Befalls zeigt. Cybersicherheits-Schulungen sollten den veränderten Rahmenbedingungen Rechnung tragen, damit potenzielle Opfer lernen, wie man effektiv mit Bedrohungen umgeht.“
Wie konnte Qakbot so lange unentdeckt „überleben“?
Mark Edison Cabel/Farrel Moje: „Qakbot, auch unter den Namen Qbot bekannt, wurde erstmals bereits im Jahr 2007 entdeckt. Ursprünglich wurde die Malware als Banking-Trojaner eingesetzt, um sensible Finanzdaten zu stehlen. Qakbot wird in erster Linie über bösartige Spam- oder Phishing-E-Mails verbreitet. Aktuell hat sich Qakbot von diesen Ursprüngen aus aber deutlich weiterentwickelt. Inzwischen dient die Schadsoftware als Übertragungsmechanismus für unterschiedliche Malware-Payloads, einschließlich von Ransomware. Qakbot hat sich über die Jahre von einem reinen Banking-Trojaner zu einer der dienstältesten und bekanntesten Bedrohungen entwickelt, die Cyberkrimelle einsetzen.
Die Fähigkeit, sich kontinuierlich an veränderte Bedingungen anzupassen und weiterzuentwickeln, ist der Schlüssel, warum Qakbot so lange so erfolgreich sein konnte.
Die Forscher der VIPRE AV Labs haben unterschiedliche Methoden beobachtet, wie sich Qakbot verbreitet:
- Bösartige Excel-Tabellen (xslm) mit Qakbot
- Ausnutzen von DLL-Side-Loading, um Qakbot zu verbreiten
- Einsatz von HTML Smuggling, um Qakbot diskret auf dem Computer eines Opfers zu installieren
- Trojanisierung von Microsoft OneNote
- Verbreitung von Qakbot über gekaperte legitime E-Mail-Threads und sorgfältig gestaltete Spam-E-Mails, die überzeugende Social-Engineering-Taktiken verwenden.
- Ausnutzen bekannter Sicherheitslücken, wie CVE-2022-30190 „Follina“.
- Qakbot wird über neu registrierte Domains (NRDs) verbreitet
- Laut dem VIPRE AV Labs Q2 Email Threat Landscape Report verbreitet sich Qakbot nun auch über PDF-Dateien.
Darüber hinaus spielen die mit Qakbot infizierten Rechner eine entscheidende Rolle bei den Operationen von Qbot. Über 25 Prozent dieser kompromittierten Server sind lediglich einen einzigen Tag lang funktionsfähig, während etwa die Hälfte von ihnen nicht länger als eine Woche besteht. Der Grund liegt in der Notwendigkeit, die infizierten Bots in Command and Control (C2) -Server umzuwandeln. Eine Strategie, die den Qakbot-Betreibern hilft, die Netzwerkabwehr zu umgehen. Statische Blockierungsmechanismen, die sich auf bekannte Indicators of Compromise (IOCs) stützen, sind an dieser Stelle deutlich weniger wirksam. Bei diesem Ansatz werden die Adressen der C2-Kontrollpunkte ständig geändert. Das ist eine Taktik, die auch die berüchtigte Emotet-Malware für sich genutzt hatte. Außerdem handelt es sich um eine modulbasierte Malware. Dank dieser Voraussetzung besteht durchaus die Möglichkeit, dass wir es in Zukunft mit einer noch umfassenderen und wirkungsvolleren Qbot-Variante zu tun bekommen.“
Autoren: Mark Edison Cabel, Malware Researcher und Farrel Moje, Malware Research Engineer, VIPRE
vipre.com/de/