• Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
  • English English Englisch en
  • Deutsch Deutsch Deutsch de
Sales: +49 5251 304-800 | Support: +49 5251 304-636
NoSpamProxy
  • PRODUKT
    • NoSpamProxy Cloud
    • NoSpamProxy Protection
    • NoSpamProxy Encryption
    • NoSpamProxy Large Files
    • NoSpamProxy Disclaimer
  • LÖSUNGEN
    • M365 Mail Security
    • Managed Certificates
    • 32Guards
    • AS4
  • RESSOURCEN
    • Dokumentation
    • Forum
    • Webcasts
    • Schulungen
    • Support
    • Software-Download
  • PARTNER
    • Partner finden
    • Partner werden
    • Partnerportal
    • NFR-Lizenzen
  • UNTERNEHMEN
    • Kontakt
    • Referenzen
    • Team
    • Karriere
    • Events
    • Auszeichnungen
  • PREISE
  • BLOG
    • Blog
    • Newsletter-Abo
  • KOSTENFREI TESTEN
    • Preisanfrage stellen
    • Kostenfrei testen
  • Deutsch
    • English
  • Click to open the search input field Click to open the search input field Search
  • Menu Menu
  • Nach Zerschlagung: Qakbot Hacker weiter aktiv

Nach Zerschlagung: Qakbot-Hacker weiterhin aktiv

Ende August 2023 verkündete das FBI stolz die Zerschlagung der Qakbot-Infrastruktur. Die Drahtzieher hinter Qakbot sind allerdings weiterhin aktiv und verteilen Schadsoftware, unter anderem die Ransomware Ransom Knight (Cyclops) und die Backdoor Remcos. Erfahren Sie in unserem Blogartikel, welche Bedrohungen von Qakbot und seinen Nachfolgern ausgehen und wie Sie sich schützen können.

Hacker benutzten Qakbot jahrelang, um Unternehmen und Regierungsbehörden zu erpressen. Hauptziel war seit Januar 2020 vor allem das Gesundheitswesen in den USA, aber auch andere Branchen in weiteren Ländern waren betroffen.

Das Botnet stellte eine Command-and-Control-Infrastruktur bereit, die für Angriffe auf Unternehmen und Individuen rund um den Globus eingesetzt werden konnte. Laut den Ermittlern befand sich die Serverinfrastruktur in Deutschland. Die Ermittler übernahmen diese und entzogen den Tätern den Zugriff auf die Systeme. Bundesinnenministerin Nancy Faeser sprach von einem “großen und wirkungsvollen Schlag”.

Wirkungsvoll, ja – aber leider nicht langfristig: Die Drahtzieher hinter Qakbot sind nämlich weiterhin aktiv und verteilen Schadsoftware, unter anderem die Ransomware Ransom Knight (Cyclops) und die Backdoor Remcos – beides eingeschleust über Phishing-E-Mails.

Was ist Qakbot?

Qakbot – auch bekannt unter den Namen “Qbot” und “Pinkslipbot” – ist ein bösartiger Computerwurm und Banking-Trojaner, der erstmals im Jahr 2009 entdeckt wurde. Der Schadcode zielt auf Windows-basierte Systeme ab und ist darauf ausgelegt, vertrauliche Informationen zu sammeln, insbesondere Bankdaten und Anmeldeinformationen. Qakbot verbreitet sich häufig über infizierte E-Mail-Anhänge, bösartige Websites und Peer-to-Peer-Netzwerke.

Die Malware ist in der Lage, eine Vielzahl bösartiger Aktivitäten auszuführen, darunter Keylogging (Aufzeichnung von Tastatureingaben), Datendiebstahl, das Einbauen von Hintertüren in infizierte Systeme sowie die Verbreitung des Schadprogramms selbst. Außerdem ist Qakbot in der Lage, in einem infizierten System zu persistieren, d. h. auch nach einem Neustart des Computers aktiv zu bleiben.

QakBot ist bisher auf zwei verschiedene Arten in Erscheinung getreten: Einerseits wird QakBot mit verseuchten Microsoft-Office-Anhängen gebündelt, über die Angriffe auf die betroffenen Unternehmen ausgeführt werden. Andererseits arbeitet QakBot in Kombination mit der Ransomware ProLock, wobei QakBot in diesem Fall als Türöffner dient.

QakBot-verseuchte E-Mails enthalten Links, die auf kompromittierte Websites zeigen, von denen dann verseuchte Dateien heruntergeladen werden sollen. Durch das Ausführen dieser Dateien wird dann mittels PowerShell die Ransomware heruntergeladen.

Andere Schadsoftware – gleiche Gefahr

Wenn der Qakbot zweimal klingelt schrieben wir an dieser Stelle vor etwa zwei Jahren, und trotz der Abschaltung der etwa 700.000 Qakbot-Drohnen gehen Sicherheitsanalysten davon aus, dass die Command-and-Control-Infrastruktur des Malware-Botnets zwar von den Strafverfolgungsbehörden beschlagnahmt wurden, die Infrastruktur jedoch intakt ist und die Betreiber – offensichtlich erfolgreich – Wege gesucht haben, um weiterhin Schadcode verteilen zu können.

Die Täter wurden dabei durch die Verwendung von bösartigen LNK-Dateien identifiziert, die genauso benannt und formatiert sind wie die zuvor mit Qakbot in Verbindung gebrachten. Dazu gehört ein Dutzend Dateinamen, die den Anschein erwecken, als seien sie eine beispielsweise eine Rechnung oder eine Banküberweisung. Etwa die Hälfte davon ist in italienischer Sprache verfasst, was darauf hindeutet, dass sich das Malware-Botnet in letzter Zeit auf eine bestimmte Region konzentriert. Die LNK-Dateien befinden sich in einem ZIP-Paket, das auch die Remcos-Backdoor enthält, die als legitime Excel-XLL-Zusatzdatei getarnt ist.

Qakbot-Drahtzieher nutzen jetzt Ransomware-as-a-Service

Es scheint zwar, dass der “Malware”-Teil des Botnets ernsthaft gestört wurde; die Angreifer verwenden keine Malware, die zuvor mit Qakbot in Verbindung gebracht wurde. Allerdings scheinen sie stattdessen Kunden des Ransomware-as-a-Service-Anbieters „Cyclops“ geworden zu sein. Diese Gruppe wurde vor kurzem auch durch den Einsatz von RedLine-Malware auffällig.

Sicherheitsexperten sind also skeptisch, denn die Hauptakteure wurden nicht identifiziert und gefasst. Allgemein kann man davon ausgehen, dass die vorhandene Malware für neue Kampagnen verändert werden wird. Die Gefahr bleibt also bestehen und damit die Frage, wie man sich am besten vor solchen Angriffen schützen kann.

E-Mail-Firewalls gegen Qakbot

Es ist außerdem notwendig, eine leistungsfähige E-Mail-Firewall zu Schutz vor Spam und Malware einzusetzen. Diese kann die Gefahren von vornherein abwehrt. NoSpamProxy bietet dafür zahlreiche Features, die Sie vor Angriffen mit Malware wie QakBot schützen.

  • URL Safeguard

    Der URL Safeguard schreibt URLs in eingehenden E-Mails um oder blockiert diese, und er prüft die jeweilige URL zum Zeitpunkt des Anklickens durch den Nutzer jedes Mal erneut daraufhin, ob sie zu einem Schadziel führt. Wird die URL als gefährlich eingestuft, wird der Zugriff verhindert. Blockierte URLs können durch den Administrator wieder freigegeben werden.

  • Reputationsfilter

    Der Reputationsfilter bewertet die Absenderreputation durch Überprüfen der SPF-, DKIM- und DMARC-Einträge und weist gefälschte E-Mails in den allermeisten Fällen ab – ganz egal, wie gut die E-Mail optisch und inhaltlich gemacht ist.

  • Inhaltsfilter

    Der Inhaltsfilter in NoSpamProxy bietet wiederum die Möglichkeit, bestimmte Dateitypen wie ausführbare Dateien oder Word-Dokumente mit Makros zu sperren, mit Hilfe von Content Disarm and Reconstruction (CDR) alle Word-, Excel und PDF-Dateien in ungefährliche PDFs zu verwandeln oder die E-Mail abzuweisen.

Mit 32Guards optimal vor Qakbot schützen

Neue Malware-Trends, neuartige Spam-Attacken sowie aufkommende Bedrohungen aller Art erkennt 32Guards in kürzester Zeit. Und 32Guards lernt stetig dazu: Die wachsende Datenbasis ermöglicht es, 32Guards kontinuierlich zu verbessern und an die jeweils aktuelle Bedrohungssituation anzupassen.

32Guards verfolgt dabei – im Gegensatz zu herkömmlichen Cybersecurity-Lösungen – einen globalen Ansatz bei der Analyse der aktuellen Bedrohungen: Die Informationen der einzelnen NoSpamProxy-Instanzen – also beispielsweise Dateiname, Dateigröße oder Hash-Wert – werden durch eine übergeordnete Malware-Intelligenz zusammengeführt und in Echtzeit ausgewertet. Die ermöglicht eine schnelle Analyse und damit auch ein sofortiges Reagieren auf akute Gefahrensituationen.

Zuverlässig vor QakBot schützen – mit NoSpamProxy

Mit NoSpamProxy und dem Service 32Guards schützen Sie Ihr Unternehmen zuverlässig vor Malware wie QakBot. Fordern Sie jetzt Ihre kostenfreie Testversion an!

NoSpamProxy 30 Tage kostenfrei testen
  • teilen 
  • teilen 
  • teilen 
  • E-Mail 

SUCHE

PRODUKT

  • Alle Beiträge
  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files

Sie benötigen Unterstützung?

Weitere Informationen rund um NoSpamProxy finden Sie in unserer Dokumentation und im Forum.

KATEGORIE

  • Alle Beiträge
    • News
    • Produkt
    • Technik & Support
    • Termine
    • Updates
Net at Work GmbH
Am Hoppenhof 32 A
33104 Paderborn
Tel. +49 5251 304-800
Fax +49 5251 304-650
www.netatwork.de

NoSpamProxy-Newsletter

Jetzt abonnieren
RSS Feed Logo RSS Feed Logo Subscribeto RSS Feed

NoSpamProxy

  • NoSpamProxy Cloud
  • NoSpamProxy Protection
  • NoSpamProxy Encryption
  • NoSpamProxy Large Files
  • NoSpamProxy Disclaimer
  • Preisanfrage
  • Team
  • Karriere
  • AGB
  • Datenschutzinformation für Geschäftspartner und Bewerber
  • Cybersicherheit (PSIRT)

Partner

  • Vertriebspartner
  • Partner werden
  • Partner finden
  • Zertifikate kaufen
  • Newsletter abonnieren

Kategorien

  • Alle Themen
  • News
  • Technik & Support
  • Termine
  • Updates
  • Zertifikate bestellen

Letzte News

  • Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten Preview
    Warum Sie ARC in NoSpamProxy jetzt aktivieren sollten11.07.2025 - 12:07
  • SVG-Dateien im E-Mail-Anhang: Gefahr durch Schadcode Preview
    SVG-Datei im E-Mail-Anhang: Gefahr durch Schadcode04.07.2025 - 10:00
  • NoSpamProxy Update Banner
    NoSpamProxy Cloud Juni-Update: Rollout gestartet30.06.2025 - 06:00
IMPRESSUM • EULA • Datenschutzerklärung •  • © 2025 Net at Work GmbH
  • Link to Rss this site
  • Link to LinkedIn
  • Link to Youtube
  • Link to X
  • Link to Instagram
Link to: Neue SwissSign-MPKI: Was Sie jetzt tun müssen Link to: Neue SwissSign-MPKI: Was Sie jetzt tun müssen Neue SwissSign-MPKI: Was Sie jetzt tun müssenInfo Icon Link to: Bosch CyberCompare nimmt NoSpamProxy ins Portfolio auf Link to: Bosch CyberCompare nimmt NoSpamProxy ins Portfolio auf Bosch CyberCompare nimmt NoSpamProxy ins Portfolio auf PreviewBosch CyberCompare nimmt NoSpamProxy ins Portfolio auf
Scroll to top Scroll to top Scroll to top