Botnet: Nach Qakbot-Takedown verteilen Drahtzieher weiter Malware

Nachdem internationale Strafverfolger Ende August rund 700.000 Qakbot-Drohnen deinstallierten und damit das Botnet außer Gefecht setzten, sind die Drahtzieher dahinter weiter aktiv und verteilen Ransomware. Das haben IT-Sicherheitsforscher von Cisco-Talos beobachtet.

Bereits seit dem frühen August hätten die kriminellen Täter eine Kampagne gestartet, bei der sie die Ransomware Ransom Knight (Cyclops) und die Backdoor Remcos mit Phishing-Mails verteilten, schreiben die IT-Forscher in ihrer Analyse. Die Kampagne startete bereits vor der FBI-Operation gegen das Qakbot-Botnet, woraus die Talos-Mitarbeiter schließen, dass dabei zwar die Command-and-Control-Infrastruktur außer Gefecht gesetzt wurde, nicht jedoch die Systeme zur Spam-Verteilung.

Qakbot-Gang: Verteilung von anderer Ransomware

Bislang hätten die Cyberkriminellen keine Qakbot-Malware nach dem Takedown verteilt, sondern andere Ransomware. Da jedoch die Entwickler nicht verhaftet wurden und noch einsatzfähig sind, schätzt Cisco-Talos, dass diese die Qakbot-Infrastruktur wieder aufbauen könnten. Die Zuordnung zu Qakbot haben die IT-Forscher aufgrund von Hinweisen in den LNK-Dateien vorgenommen, die Metadaten passten zu denen früherer Qakobot-Kampagnen – die Quell-Maschinen seien dieselben, etwa die Laufwerksseriennummern identisch.

Die LNK-Dateien starten Powershell mit Parametern und verweisen dabei auf Netzwerkfreigaben etwa per WebDAV im Internet, um von dort Schadsoftware zu starten. Damit könnten die Täter versuchen, der Erkennung von Downloads mit der Kommandozeile zu entgehen, mutmaßen die IT-Forscher. Die Dateinamen der LNK-Dateien drehen sich um dringende finanzielle Angelegenheiten, was darauf schließen lässt, dass sie mit Phishing-Mails verteilt wurden. Sie stimmten mit früheren Qakbot-Kampagnen überein. Sie lauteten etwa ATTENTION-Invoice-29-August.docx.lnk, bank transfer request.lnk, Booking info.pdf.lnk oder FRAUD bank transfer report.pdf.lnk und ähnlich.

Die LNK-Dateien hätten in ZIP-Archiven gelegen, die auch XLL-Dateien enthielten. Dabei handelt es sich um Excel-Add-ons, die mit dem Excel-Icon angezeigt werden. In diesen Dateien steckt die Remcos-Backdoor, die zusammen mit der Ransom Knight-Ransomware ausgeführt wird. Dadurch erhalten die Täter nach der Infektion Zugriff auf die Maschine. Die LNK-Datei lädt dabei die Ransom Knight-Komponente herunter. Dabei handelt es sich um eine aktualisierte Fassung der Cyclops-Ransomware-as-a-Service, die von Grund auf neu programmiert wurde, erläutern die IT-Forscher. Die Cyclops-Programmierer hätten diese neue Variante im Mai angekündigt.

Talos' Analysten gehen davon aus, dass die Qakbot-Akteure nicht hinter Cyclops stecken, sondern lediglich Kunden des Malware-Dienstes seien. Die IT-Forscher haben Indizien für Infektionen (Indicators of Compromise, IOCs) zusammengestellt, anhand derer Interessierte prüfen können, ob Hinweise für eine Infektion auf ihren Systemen vorliegen.

Im August hatte das FBI zusammen mit internationalen Strafverfolgern das Qakbot-Botnetz außer Gefecht gesetzt. Die Beamten entfernten die Malware dabei von 700.000 Systemen.

(dmk)