IT-Sicherheit

Qbot wieder aktiv

Trojaner Qakbot bleibt für Unternehmen gefährlich

von 16.09.2020
Zu sehen ist eine Tastatur. Der Rechner ist mit Qbot infiziert. Bild: Pexels/Soumil Kumar
Qbot infiziert aktuell mehr und mehr Systeme. Bild: Pexels/Soumil Kumar

Der Trojaner Qbot (auch: Qakbot) ist einfach nicht tot zu kriegen. Internationale Strafverfolger konnten das Quakbot-Botnetz 2023 zwar außer Gefecht setzen, der Erfolg war allerdings nur von kurzer Dauer.

Wir erklären, was es mit Qakbot auf sich hat, welche aktuellen Entwicklungen es gibt und wie sich Unternehmen schützen können.

Inhaltsverzeichnisexpand_more
  1. Katz-und-Maus-Spiel mit den Cybergangstern
  2. Was ist QBot / Was ist Qakbot?
  3. Malware mal mehr, mal weniger aktiv
  4. Qakbot: erst weg, jetzt wieder zurück
  5. Investieren Sie in Ihre IT-Sicherheitsarchitektur!

Katz-und-Maus-Spiel mit den Cybergangstern

Strafermittlungsbehörden auf der ganzen Welt arbeiten unermüdlich daran, Gruppierungen aus dem Cybercrime das Handwerk zu legen. Das ist allerdings gar nicht so einfach, denn: Mit jeder Entwicklung neuer Sicherheitstechnologien und -strategien zur Bekämpfung von Cyberkriminalität passen sich Cyberkriminelle an, indem sie noch ausgeklügeltere Methoden zur Umgehung dieser Maßnahmen entwickeln. Das Ergebnis ist ein regelrechtes Katz-und-Maus-Spiel durch das World Wide Web.

Diese Dynamik zwingt beide Seiten zu ständiger Wachsamkeit und Innovation. Während Behörden fortschrittliche Techniken und internationale Kooperationen nutzen, um Cyberbedrohungen zu neutralisieren, suchen Cyberkriminelle ständig nach Schwachstellen in neuen Technologien und Sicherheitsprotokollen. Für ein solches Wechselspiel gibt es so einige Beispiele. In jüngster Zeit war die LockBit-Bande ein besonders prominenter Fall. Aber auch Qbot beziehungsweise Qakbot ist – sozusagen als alter Hase unter den Trojanern und den dahinterstehenden Cyberbanden – nach wie vor ein zäher Brocken für die internationalen Strafverfolger.

Zu sehen sind Hände, die Tastatur und Maus bedienen. Es geht um die Schadsoftware QBot oder auch Qakbot. Bild: Pexels/Alena Darmel

Die Schadsoftware Qakbot ist 2008 erstmals entdeckt worden und wird auch 2024 immer noch von Cyberkriminellen eingesetzt. Bild: Pexels/Alena Darmel

Was ist QBot / Was ist Qakbot?

Qbot oder auch Qakbot ist eine Schadsoftware, die urspürglich im Jahr 2008 entdeckt worden ist. Es handelt sich um einen Trojaner, der vor allem mit dem Ziel entwickelt wurde, sensible Informationen zu stehlen – darunter Bankdaten, Anmeldedaten und andere persönliche Informationen, die sich auf infizierten Computern gegebenenfalls abgreifen lassen.

Über die Jahre ist Qakbot kontinuierlich weiterentwickelt worden und hat zusätzliche Fähigkeiten erhalten. Der modulare Aufbau der Schadsoftware ermöglicht es den Hintermännern, Anpassungen vorzunehmen und neue Funktionalitäten zu integrieren. Qakbot ist beispielsweise in der Lage, sich selbstständig in einem Netzwerk zu verbreiten. Qakbot kann auch als Keylogger eingesetzt werden, sodass sich Tastatureingaben protokollieren und dadurch Passwörter und sensible Daten ausspionieren lassen. Und: Qakbot bringt eine Botnet-Funktionalität mit. Sprich: Infizierte Computer können Teil eines Botnetzes werden, das von den Cyberkriminellen ferngesteuert wird, um koordinierte Angriffe oder Spam-Kampagnen durchzuführen.

Funktionen von Qakbot im Überblick

Die Erklärung für den langfristigen Erfolg von Qakbot liefert der enorme Funktionsumfang, den der Trojaner aufweist. Sicherheitsexperten bezeichnen den Trojaner daher auch als Schweizer Taschenmesser. Zu den Funktionen gehören folgende:

  • Der Trojaner ist als Keylogger in der Lage, Informationen von infizierten Rechnern abzugreifen, darunter Passwörter, E-Mails, Kreditkartendaten und mehr.
  • Qbot kann die Installation anderer Malware auf infizierten Rechnern vornehmen und dadurch auch Lösegeld-Forderungen möglich machen.
  • Der Trojaner Qbot kann einen Bot-Controller dazu befähigen, sich mit dem Computer des Opfers zu verbinden (auch wenn das Opfer eingeloggt ist), um von der IP-Adresse des Opfers aus Bankgeschäfte zu tätigen.
  • E-Mail-Verläufe des Benutzers können aus dem Outlook-Client gestohlen und auf die Server der Cyberkriminellen hochgeladen werden. Über diese Threads versuchen die Cyberkriminellen dann, die Malware weiter per E-Mail zu verbreiten und somit auch die PCs der Kontakte zu infizieren.

Besonders der letzte Punkt erweist sich als gefährlich. Stellen Sie sich einmal vor, Sie erhalten eine E-Mail von einem Kollegen, die einen bereits zwischen Ihnen bestehenden E-Mail-Verlauf weiterführt. Gehen wir davon aus, dass diese neue Nachricht einen bösartigen Anhang enthält. Wie skeptisch sind Sie in diesem Szenario beim Öffnen des Anhangs? Vermutlich nicht besonders.

Zu sehen ist eine Person mit Energy-Dring in dunkler Umgebung vor einem Laptop. Ein Qakbot-Hacker? Bild: Pexels/Sai Krishna

Der Schlag gegen das Qakbot-Botnet war nur kurzzeitig von Erfolg gekrönt. Bild: Pexels/Sai Krishna

Malware mal mehr, mal weniger aktiv

Sicherheitsexperten haben Qakbot schon seit langer Zeit im Visier. Sie versuchen, die Cyberkriminellen im Schach zu halten, indem sie deren Techniken und Methoden untersuchen und die Hersteller von Sicherheitslösungen informieren, sodass diese ihre Lösungen daran anpassen. Gleichzeitig arbeitet auch die Cybercrime-Gruppe hinter Qakbot stetig daran, die Schadsoftware weiterzuentwickeln – damit die Sicherheitslösungen sie nicht mehr erkennen können.

Daher scheinen die Angriffe mit Qakbot auch in Wellen zu erfolgen: Von März bis 2020 beispielsweise ließ sich weltweit eine massive Angriffskampagne beobachten, danach schien die Welle an Qbot-Infektionen abzuflauen – aber nur um Ende Juli 2020 wieder so richtig ins Rollen zu geraten. Und zwar mit noch mehr Wucht, denn dieses Mal wurde Qakbot über das berüchtigte EmotetBotnetz verteilt.

Das war auch der Grund dafür, dass Qbot im August 2020 erstmals in die Top Ten der gefährlichsten Malware-Arten oder auch -Gruppierungen aufgestiegen ist. Das ist inzwischen aber schon eine ganze Weile her. Daher stellt sich die Frage: Wie sieht die Lage aktuell aus?

Qakbot: erst weg, jetzt wieder zurück

Im August 2023 ist es dem FBI gemeinsam mit internationalen Strafverfolgern aus Deutschland, Frankreich, Lettland, den Niederlanden, Rumänien, den USA und dem Vereinigten Königreich gelungen, das Qakbot-Botnetz – zumindest kurzzeitig – außer Gefecht zu setzen. Bei der Aktion verschafften sich die Strafverfolger Zugang zur Qakbot-Infrastruktur und konnten dabei 700.000 infizierte Computer ausmachen.

Die Cyberkriminellen hatten diese Computer als Teil einer Command-and-Control-Infrastruktur genutzt und darüber Attacken auf Unternehmen auf der ganzen Welt ausgeführt. Mit Hilfe eines Uninstallers konnten die Ermittler die Malware von den infizierten Geräten entfernen und die Installation weiterer Schadsoftware verhindern.

Der Erfolg war aber scheinbar nur von kurzer Dauer: Schon im Dezember 2023 war Qakbot mit einer neuen Phishing-Kampagne wieder aktiv, wie das Threat-Intelligence-Team von Microsoft entdeckt hat. Sicherheitsforscher gehen daher davon aus, dass das Botnet vor der Wiederauferstehung stehen könnte.

Zu sehen ist ein Screenshot, in dem das Threat-Intelligence-Team von Microsoft über eine neue Ohishing-Kampagne mit Qakbot informiert. Bild: Screenshot X

Laut dem Sicherheitsteam von Microsoft ist Qakbot mit einer neuen Phishing-Kampagne aktiv. Bild: Screenshot X

Investieren Sie in Ihre IT-Sicherheitsarchitektur!

Für Unternehmen auf der ganzen Welt heißt das, dass auch von Seiten der Qakbot-Bande neuerlich Gefahr droht. Schützen können Sie sich vor Qbot und Co. nur, wenn Sie ein ausgefeiltes Sicherheitskonzept in Ihrem Unternehmen umsetzen. Mit Anti-Malware-Lösungen sorgen Sie beispielsweise dafür, dass gefährliche E-Mail-Anhänge direkt blockiert sind. Ergänzend sollten Sie sich immer mit einem zuverlässigen Backup rückversichern. Ebenfalls sinnvoll: die Sensibilisierung Ihrer Mitarbeiter. Raten Sie ihnen dazu, auch bei E-Mails von vermeintlich vertrauenswürdigen Absendern vorsichtig zu sein.

Sie benötigen Unterstützung bei der Erarbeitung eines lückenlosen IT-Sicherheitskonzepts inklusive Backup-Management? Sie möchten Ihre Mitarbeiter in Sachen Security Awareness schulen? Die Experten aus dem IT-SERVICE.NETWORK sind in jedem Fall die richtigen Ansprechpartner. Nehmen Sie Kontakt auf!

Weiterführende Informationen:
CECKPOINT, heise, heise, it-daily
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen