Grootste wereldwijde botnet Qakbot onschadelijk gemaakt

In een gezamenlijke, internationale actie van politie- en justitiediensten is Qakbot, wereldwijd een van de grootste botnets, onschadelijk gemaakt. De grootste operatie ooit tegen een botnet infrastructuur is in de nacht van vrijdag op zaterdag gezamenlijk uitgevoerd door de autoriteiten in de Verenigde Staten, Nederland, Duitsland, Frankrijk, het Verenigd Koninkrijk, Roemenië en Letland.

In Nederland leidden de gezamenlijke inspanningen van het Landelijk Parket van het OM en het Team High Tech Crime van de Landelijke Eenheid van de Politie in verschillende datacentra tot de inbeslagneming van 22 servers, die waren verbonden aan het kwaadaardige Qakbot. Ook in Frankrijk en Duitsland zijn computerservers offline gehaald.

Qakbot – ook wel bekend als ‘Qbot’ en ‘Pinkslipbot’ en onder nog andere namen – maakte het voor cybercriminelen mogelijk om vooral ransomware aanvallen uit te voeren en financiële fraude en andere misdrijven te plegen.

Qakbot is een zogenoemde ‘modulaire malwarefamilie’ die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is. Een besmetting van een computer met Qakbot-malware komt vaak tot stand via een phishingaanval per e-mail. Daarbij wordt het slachtoffer verleid om op een malafide link te klikken, bijvoorbeeld in een pdf-bestand, of een Word-bestand met macro’s te openen. De cybercriminelen achter Qakbot gebruikten verschillende soorten ‘lokaas’ om nietsvermoedende gebruikers te misleiden en te laten toehappen om de kwaadaardige bijlagen te openen.

De criminele organisatie achter Qakbot verspreidde sinds 2008 haar malware via miljoenen phishing mails en vormde zo een omvangrijk en complex netwerk van honderden servers waarmee computersystemen van slachtoffers misbruikt konden worden (ook wel een botnet genoemd). Sommige servers werden gebruikt om grip te houden op reeds geïnfecteerde slachtoffers en gegevens door te verkopen, andere om nieuwe slachtoffers te maken.

De internationale operatie ‘Duck Hunt’ is gecoördineerd door de Verenigde Staten. Het Amerikaanse ministerie van Justitie legde beslag op 8,6 miljoen dollar aan cryptovaluta.

De FBI in Los Angeles is er vrijdagnacht in geslaagd de controle over het wereldwijde Qakbot over te nemen en het botnet te deactiveren. Het Qakbot verkeer werd daarna omgeleid naar servers die in beheer waren bij de FBI. Op geïnfecteerde computersystemen is vervolgens met een update de schadelijke Qakbot-malware verwijderd.

Er zijn het afgelopen jaar wereldwijd 700.000 geïnfecteerde computers geïdentificeerd. Een voorzichtige schatting laat zien dat het botnet via ransomware voor honderden miljoenen schade heeft toegebracht aan bedrijven en overheidsinstellingen.