Die Hacker hinter Qakbot, einer berüchtigten Malware-Operation, die kürzlich vom FBI „zerschlagen“ wurde, sind immer noch aktiv und haben es weiterhin auf neue Opfer abgesehen, sagen Forscher.
Das FBI gab im August bekannt, dass es die Infrastruktur der langjährigen Qakbot-Malware erfolgreich „gestört und demontiert“ habe, die mehr als 700.000 Computer weltweit infiziert und Schäden in Höhe von Hunderten Millionen Dollar verursacht habe. Das FBI sagte damals, dass die als „Operation Duck Hunt“ bezeichnete Abschaltung die Beschlagnahmung von 52 Servern umfasste, was nach Angaben der Behörde das Botnetz „dauerhaft zerstören“ würde.
Trotz dieser Bemühungen spammen die Hacker hinter der Qakbot-Malware weiterhin neue Opfer, so eine neue Studie von Cisco Talos.
Die Forscher geben an, Hacker bei der Durchführung einer Kampagne seit Anfang August beobachtet zu haben, bei der sie die Ransomware Ransom Knight, eine kürzliche Umbenennung der Ransomware-as-a-Service-Operation Cyclops, und den Remote-Access-Trojaner Remcos verbreitet haben, der Angreifern Folgendes bietet: Voller Zugriff auf den Computer eines Opfers durch Versenden von Phishing-E-Mails. Die Angreifer haben auch damit begonnen, die Informationsdiebstahl-Malware RedLine und die Hintertür Darkgate zu verbreiten, erklärt Talos-Forscher Guilherme Venere gegenüber Tech.
Talos gibt an, mit „mäßiger Sicherheit“ davon auszugehen, dass mit Qakbot verbundene Hacker hinter dieser Kampagne stecken, und weist darauf hin, dass die verwendeten Dateinamen sowie die Themen dringender finanzieller Angelegenheiten mit früheren Qakbot-Kampagnen übereinstimmen.
Talos weist darauf hin, dass die Namen der verwendeten bösartigen Dateien auf Italienisch geschrieben sind, was darauf hindeutet, dass die Hacker hauptsächlich auf Benutzer in dieser Region abzielen, und fügt hinzu, dass die Kampagne auch auf englisch- und deutschsprachige Personen abzielte. Venere erklärt gegenüber Tech, dass es schwierig sei, den wahren Umfang der Kampagne zu ermitteln, sagte jedoch, dass das Qakbot-Vertriebsnetzwerk äußerst effektiv sei und die Fähigkeit habe, groß angelegte Kampagnen voranzutreiben.
Zu den früheren Qakbot-Opfern gehörten ein Energietechnikunternehmen mit Sitz in Illinois; Finanzdienstleistungsorganisationen mit Sitz in Alabama, Kansas und Maryland; ein Verteidigungshersteller mit Sitz in Maryland; und ein Lebensmittelvertriebsunternehmen in Südkalifornien, so das FBI.
Den Forschern zufolge läuft diese Kampagne, die bereits vor der Abschaltung des FBI begann, noch weiter. Dies weist laut Talos darauf hin, dass Operation Duck Hunt möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur deren Command-and-Control-Server (C2) beeinträchtigt hat.
„Qakbot wird wahrscheinlich auch in Zukunft eine erhebliche Bedrohung darstellen, da die Entwickler nicht verhaftet wurden und Talos davon ausgeht, dass sie immer noch einsatzbereit sind“, sagte Venere. Talos wies darauf hin, dass die Angreifer sich möglicherweise dafür entscheiden könnten, die Qakbot-Infrastruktur neu aufzubauen, damit sie die Aktivitäten vor der Abschaltung vollständig wieder aufnehmen können.
Ein namentlich nicht genannter FBI-Sprecher lehnte eine Stellungnahme ab.