Qakbot lebt und bleibt gefährlich

Erstmals traten diese Fälle Mitte Dezember auf und sie zeigen, dass sich die Qakbot-Malware trotz der erfolgreichen Zerschlagung der Botnet-Infrastruktur durch die Strafverfolgungsbehörden im vergangenen August weiterentwickelt hat. Dabei setzen die Angreifer noch bessere Methoden ein, ihre Spuren zu verwischen.

Die von Sophos X-Ops analysierten Fälle zeigen, dass die Cyberkriminellen gezielte Anstrengungen unternommen haben, um die Verschlüsselung der Malware zu verstärken. Für Verteidiger ist es dadurch schwieriger geworden, den schädlichen Code zu analysieren. Außerdem verschlüsseln die Angreifer jetzt die gesamte Kommunikation zwischen der Malware und dem Kontrollserver mit einer stärkeren Methode als in früheren Versionen. Die Malware hat auch eine zuvor entfernte Funktion wieder eingeführt, die verhindert, dass sie in einer virtuellen Umgebung oder Sandbox ausgeführt wird.

Endpoint-Detection-Software erkennt Qakbot-Varianten

„Die Zerschlagung der Qakbot-Botnet-Infrastruktur war ein Sieg, aber die Schöpfer des Bots sind weiterhin aktiv,“ sagt Andrew Brandt von Sophos X-Ops. „Cyberkriminelle, die Zugang zum ursprünglichen Qakbot-Quellcode haben, experimentieren mit neuen Varianten und testen diese im realen Einsatz.

Eine der bemerkenswertesten Änderungen betrifft den Verschlüsselungsalgorithmus, den der Bot verwendet, um fest einkodierten Standardkonfigurationen zu verbergen. Dies macht es für Analysten noch schwieriger, die Funktionsweise der Malware zu erkennen. Die Angreifer stellen auch zuvor veraltete Funktionen wie die Erkennung virtueller Maschinen (VM) wieder her und testen sie in diesen neuen Versionen.

Es ist sehr wahrscheinlich, dass die Entwicklung von Qakbot weitergeht, bis seine Schöpfer strafrechtlich verfolgt werden. Die gute Nachricht ist, dass diese neuen Qakbot-Varianten mit zuvor erstellten Signaturen von einer Endpoint-Detection-Software leicht zu erkennen sind.

Roger Homrich

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

17 Stunden ago