Emotet ist tot! Lang lebe QBot!
Seit dem spektakulären Takedown der Emotet-Infrastruktur war es nur eine Frage der Zeit, bis ein Nachfolger den Platz der „Allzweckwaffe des Cybercrime“ einnimmt. Aktuelle Zahlen belegen, dass zurzeit QBot diesen Platz einnimmt.
Nachdem Strafverfolgungsbehörden Ende Januar die Infrastruktur von Emotet mit einer international koordinierten Aktion ausgeschaltet haben, dauerte es nicht lange, bis eine ebenso gefährliche Schadsoftware seine Nachfolge antritt. Es scheint zurzeit, dass QBot (oder Qakbot) das Erbe von Emotet angetreten hat.
Auch QBot hat bescheiden angefangen. Wie Emotet begann QBots Karriere als ein reiner Banking-Trojaner, mit dem Cyberkriminelle Onlinezahlungen manipulieren und Logindaten für Online-Banking kopiert. QBot ist bereits seit mehr als zehn Jahre im Einsatz und hat im Laufe der Zeit weitere Funktionalitäten dazu erhalten. Eine Zeit lang hat Emotet sogar QBot als zusätzliches optionales Schadmodul verteilt.
Katz-und-Maus-Spiel mit Antivieren-Software
Viele Schadprogramme produzieren in hoher Frequenz neue Varianten, um sich vor Antiviren-Software zu verstecken. Zu Spitzenzeiten erschien im Schnitt etwa alle zwei Stunden eine neue Version von Emotet. QBot liegt mit einer neuen Variante nach durchschnittlich allen drei Stunden nicht weit dahinter. Sowohl Emotet als auch QBot können eine breite Palette von weiteren Schadmodulen nachladen. Eins der neuesten Module ist ein Angriffswerkzeug namens CobaltStrike. Dies ist ursprünglich ein Werkzeug, das für Penetrationstests eingesetzt wird.
Eine aktuelle Analyse von Telemetriedaten zeigt: QBot hat die Schlagzahl massiv erhöht. Seit Februar 2021 beobachten Analysten eine stark erhöhte Aktivität der Kombination Qbot und CobaltStrike. Es hat also nur wenige Tage gedauert, bis QBot die Lücke von Emotet geschlossen hat. Dass QBot sich hier an die Spitze setzt und Emotet Konkurrenz macht, hat sich bereits Ende 2020 angedeutet. Damals nahm QBot erstmals einen Platz in den Top 10 der gefährlichsten Schadprogramme ein. Zahlen von Malwarebytes zeigen einen Zuwachs von 465 Prozent gegenüber dem Vorjahr.
Es gibt noch weitere Parallelen zu Emotet: Emotet verschickte manipulierte Mails, die auf eine tatsächlich bestehende Email-Korrespondenz Bezug nahmen. Das erhöhte die Wahrscheinlichkeit, dass die Empfänger den Mailanhang öffneten oder einen Link anklickten – mit gravierenden Folgen. QBot nutzt seit einiger Zeit dieses Vorgehen.
Trickreiches Vorgehen
Für eine Schadsoftware wie QBot ist eine stark zentralisierte Infrastruktur des Angriffsziels ein Problem. Daher nutzen Schadprogramme mehrere Tricks. QBot setzt auf eine Sammlung von Protokollen, die eigentlich für lokale Streaming- und Mediaserver sowie für die internetbasierte Kontrolle von IoT-Geräten genutzt wird: Universal Plug and Play (uPNP). Diese Verbindungen sind verschlüsselt und die gängigen uPNP-Frameworks leiten den Datenverkehr über diese Verbindungen auch automatisch durch Firewalls. Daher sollten Anwendende – egal ob zuhause oder im Betrieb – genau abwägen, ob uPNP überhaupt aktiv sein soll. Sofern es das noch ist und es nicht benötigt wird, sollte es auf jeden Fall deaktiviert werden.
Zudem macht sich die neue Allzweckwaffe des Cybercrimeeinen mehrschichtigen Aufbau von Kontrollservern zunutze. Denn mit dem eigentlichen Kontrollserver stehen die Clients nie im Kontakt. Stattdessen nehmen sie Kontakt zu einem bereits bestehenden Bot auf, der wiederum seine Anweisungen von einem von vielen Proxy-Servern erhält. Diese bekommen ihrerseits Anweisungen vom eigentlichen Kontrollserver. Das erschwert nicht nur die Nachverfolgung und das Ausfindigmachen von tatsächlichen Kontrollservern, sondern bietet zugleich eine hohe Widerstandsfähigkeit gegen Ausfälle an irgendeiner Stelle der Kommunikationskette.
Profitables Geschäftsmodell
Es ist davon auszugehen, dass QBot ein vergleichbares Geschäftsmodell wie Emotet bedient: Kunden zahlen für die Platzierung von Schadsoftware auf einem System. Alternativ werden die Kapazitäten infizierter Systeme gehandelt. So können Kunden die Systeme stundenweise für beispielsweise DDoS-Angriffe mieten oder für den Versand von Spam-Nachrichten. Es ist zu erwarten, dass Kriminelle, die vorher die Emotet-Suite benutzt haben, nun auch QBot einsetzen oder dies demnächst tun werden.
Das Geschäftsmodell ist überaus profitabel. Gleichzeitig ist das Ergreifungsrisiko für die einzelnen Kunden, welche die QBot-Infrastruktur nutzen, vergleichsweise gering. Denn alle Vorgänge laufen über mehrere Mittelsleute, die sich untereinander nicht unbedingt kennen. So erfreulich und spektakulär auch die Zerschlagung von Emotet war: Das Ermittlungsverfahren hat mehrere Jahre gedauert und wurde über zahlreiche Ländergrenzen hinweg geführt. Ob und wann eine solche Meldung zu QBot zu hören ist, bleibt abzuwarten.
Schutz vor Qbot
Da Kriminelle sich nicht gerne das Geschäft vermiesen lassen, müssen Unternehmen weiter auf der Hut sein. Wo es um viel Geld geht, machen Kriminelle nur sehr selten einen Fehler zweimal.
Bisher nutzt QBot viele der Strategien, die sich auch bereits bei Emotet bewährt haben, vor allem das ständige Ändern des äusseren Erscheinungsbildes. Daher braucht es zeitgemässe Schutztechnologien, die auch wechselnde „Verkleidung“ einer Schadsoftware erkennt, und aufmerksame Mitarbeiter, die beim leisesten Verdacht die verantwortlichen Admins informieren. Und auf diesem Weg das Unternehmen vor Schaden bewahren.
Mit Awareness Trainings zu mehr IT-Sicherheitsbewusstsein
NIS2 – Cybersecurity als Imperativ nicht nur für KRITIS
Anrufe von Fake-Behörden haben sich verdreifacht
Mit diesen Brands phishen Betrüger besonders oft
Der magische Wäschekorb
Wie die SISA die Schweiz zum sichersten Internetland der Welt machen will
Forschende entdecken russische Schadsoftware Kapeka
IT-Security: Einfach mal machen lassen
Wie und warum sich Industriebetriebe vor Cyberangriffen schützen sollten
