Die Malware "Qakbot" ist zurück

Sie öffnet die Tür für Ransomware-Angriffe und ist unter vielen Namen bekannt: Die Malware "Qakbot" alias "Quakbot" oder "Qbot" ist wieder vermehrt im Umlauf. In der Schweiz benutzen Cyberkriminelle oft gestohlene E-Mail-Konversationen (etwa zwischen Lieferanten und der Kundschaft), um Qakbot zu verbreiten, wie das Nationale Zentrum für Cybersicherheit (NCSC) mitteilt. Diese Konversationen dienen dabei als Einfallstor für die Malware, die bei einer erfolgreichen Infektion unbemerkt in die Unternehmensnetzwerke eindringt und häufig Ransomware installiert. Danach fordern die Angreifer ein Lösegeld.

Dieser Modus Operandi ist keine Neuheit. Bereits zur Jahreswende verzeichnete das NCSC einen erhöhten Einsatz von Malware, die per E-Mail verschickt wurde. Neuerdings wird die Schadsoftware aber nicht mehr direkt im Anhang eines Mails platziert, sondern über eine Datei in Onedrive weitergegeben. So lassen sich bestehende Spam- und Virenfilter austricksen.

So wird die Malware eingeschleust

Die Cyberkriminellen verwenden gestohlene E-Mail-Konversationen und schreiben Unternehmensmitarbeitende direkt an. So animieren sie die Angestellten innerhalb einer bestehenden Konversation, auf einen Link zu klicken - ein Social-Engineering-Vorgehen. Der Link erscheint auf den ersten Blick vertrauenswürdig und unverdächtig, da er tatsächlich zu Onedrive führt. Dort wird ein passwortverschlüsseltes ZIP-Archiv angeboten, worin sich gemäss NCSC eine Excel-Datei befindet. Führt man die darin enthaltenen Makros aus, wird der Computer des Opfers mit "Qakbot" infiziert.

Tipps vom NCSC

Eine Infektion kann einfach verhindert werden, solange man sich der bestehenden Gefahr bewusst ist. Bereits beim Öffnen von E-Mail-Anhängen soll mit Vorsicht gewaltet werden, selbst wenn die Datei aus einer vermeintlich vertrauenswürdigen Quelle stammt. Dasselbe gilt für den Umgang mit Onedrive-Dateien. In gar keinem Fall sollten beim Öffnen eines Dokuments Makros ("Inhalt aktivieren") aktiviert werden, selbst wenn man dazu aufgefordert wird. Sollte ein Ransomware-Angriff erfolgen und eine Lösegeldforderungen auftauchen, rät das NCSC vor einer Lösegeldzahlung ab. Eine Anzeige bei den Strafverfolgungsbehörden sei die bessere Option. Verdächtige Mails, die Phishing-Versuche oder Malware enthalten, können beim NCSC unter http://www.antiphishing.ch/ gemeldet werden.

Für Unternehmen rät das NCSC ausserdem:

• Den Empfang von gefährlichen E-Mail-Anhängen auf dem E-Mail-Gateway blockieren. Dazu zählen auch Office-Dokumente mit Makros. Eine Empfehlung von zu sperrenden Dateianhängen gibt es gemäss NCSC hier: https://www.govcert.ch/downloads/blocked-filetypes.txt

• Sollte das Unternehmen Microsoft Onedrive nicht für geschäftliche Zwecke verwenden, sollte zumindest temporär der Zugang zu Microsoft Onedrive (onderive.live.com) auf dem Sicherheitsperimeter (z.B. Firewall, Web-Proxy etc.) gesperrt werden.

• Den Zugriff auf bekannte Qakbot Botnet C&C Server auf dem Sicherheitsperimter anhand der Feodo Tracker Blockliste sperren.

• Den Zugriff auf Webseiten auf dem Sicherheitsperimeter sperren, welche aktuell für die Verbreitung von Malware verwendet werden. URLhaus bietet laut NCSC eine entsprechende Liste in verschiedenen Formaten.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.