Qakbot: BKA meldet Zerschlagung gefährlichen Schadsoftware-Netzwerks

In Deutschland befindliche Qakbot-Infrastruktur übernommen und zerschlagen

[datensicherheit.de, 01.09.2023] Das Bundeskriminalamt (BKA) und die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – haben nach eigenen Angaben am 26. August 2023 „in einer international konzertierten Aktion“ unter Leitung US-amerikanischer Behörden die in Deutschland befindliche Server-Infrastruktur der Schadsoftware „Qakbot“ (auch als „Qbot“ oder „Pinkslipbot“ bekannt) übernommen und zerschlagen.

Aufwändige Ermittlungen US-amerikanischer Behörden gegen Qakbot-Infrastruktur

Den Maßnahmen seien aufwändige Ermittlungen US-amerikanischen Behörden vorausgegangen, welche das BKA demnach seit Sommer 2022 unter Sachleitung der ZIT in Deutschland maßgeblich unterstützt hat. Das zugrundeliegende Ermittlungsverfahren richte sich gegen die bislang unbekannten Betreiber und Administratoren dieser Schadsoftware: „Gegen diese besteht unter anderem der Verdacht der banden- und gewerbsmäßigen Erpressung.“ Beteiligt an den Ermittlungen und an der Zerschlagung des Netzwerkes seien zudem Strafverfolgungsbehörden aus Frankreich, den Niederlanden und Großbritannien sowie Europol und Eurojust gewesen.

„Qakbot“ gelte als eine der gefährlichsten Schadsoftwares in Deutschland und weltweit. Für die Verbreitung und Steuerung hätten die Täter eine sogenannte Command-and-Control-Infrastruktur, genutzt, mit der sie ein sogenanntes Botnetz kontrolliert hätten, welches allein im letzten Jahr (2022) über 700.000 Systeme umfasst habe. Nach der initialen Infektion durch schadhafte E-Mail-Anhänge oder Hyperlinks breitet sich laut BKA die Schadsoftware auf dem System des Opfers aus und leitet Daten an die Täter weiter. Der infizierte Computer werde somit Teil des Botnetzes – einem Netzwerk kompromittierter Computer. „Anschließend lädt ,Qakbot’ weitere Schadsoftware nach, um die Daten des Computersystems zu verschlüsseln.“ Dies erfolge mit dem Ziel, das Opfer zu erpressen.

Ransomware-Gruppierungen nutzten Qakbot als Türöffner für ihre Angriffe

Große Ransomware-Gruppierungen hätten „Qakbot“ in der Vergangenheit als gewissermaßen Türöffner für ihre Angriffe genutzt, durch die weltweit ein Schaden für Unternehmen, das Gesundheitswesen und Regierungsbehörden in Höhe von mehreren hundert Millionen Euro entstanden sei. Die technische Infrastruktur der Schadsoftware sei durch die internationalen Maßnahmen übernommen und den Tätern der Zugriff auf die Systeme dauerhaft entzogen worden.

„Zudem konnten weltweit mehrere tausend Bots bereinigt werden. Durch BKA und ZIT wurden alle in Deutschland befindlichen Systeme der ,Qakbot’-Infrastruktur beschlagnahmt. Damit ist den internationalen Strafverfolgungsbehörden ein bedeutender Schlag gegen die Cybercrime-Szene gelungen.“

Zerschlagung der Qakbot-Infrastruktur entscheidender Erfolg gegen Cyber-Kriminalität

„Die Zerschlagung der ,Qakbot’-Infrastruktur ist ein erneuter, entscheidender Erfolg gegen Cyber-Kriminalität. ,Qakbot’ fuhr vielfache Angriffsserien und diente als sogenannter Dropper häufig als Türöffner für weitere Schadsoftware, darunter insbesondere Ransomware mit enormem Schadenpotenzial“, erläutert Carsten Meywirth, Leiter der Abteilung „Cybercrime“ im Bundeskriminalamt.

Oberstaatsanwalt Dr. Benjamin Krause, Pressesprecher der Zentralstelle zur Bekämpfung der Internetkriminalität – ZIT – der Generalstaatsanwaltschaft Frankfurt am Main, betont: „Der Ermittlungserfolg ist ein weiterer Beleg dafür, dass die internationale Kooperation der Strafverfolgungsbehörden bei der Bekämpfung von Cybercrime funktioniert.“