In een gezamenlijke, internationale actie van de politie is Qakbot uit de lucht gehaald. Dat netwerk was één grootste botnets ter wereld. Dat is gebeurd in de nacht van vrijdag op zaterdag maar nu pas bekend gemakt. De autoriteiten in de Verenigde Staten, Nederland, Duitsland, Frankrijk, het Verenigd Koninkrijk, Roemenië en Litouwen werkten samen in de actie.

Duck Hunt

In Nederland werden in verschillende datacentra 22 servers in beslag genomen. Die servers waren verbonden met het kwaadaardige Qakbot. Ook in Frankrijk (6) en Duitsland (8) zijn computerservers offline gehaald. Met Qakbot (ook wel “Qbot” en “Pinkslipbot” genoemd konden cybercriminelen vooral ransomware aanvallen uitvoeren en financiële fraude en andere misdrijven plegen. De internationale operatie “Duck Hunt” is gecoördineerd door de Verenigde Staten. Het Amerikaanse ministerie van Justitie legde beslag op 8,6 miljoen dollar aan cryptovaluta.

FBI

De FBI in Los Angeles slaagde er vrijdagnacht in om de controle over het wereldwijde botnet over te nemen en het te deactiveren. Het Qakbot verkeer werd daarna omgeleid naar servers die in beheer waren bij de FBI. Op geïnfecteerde computersystemen is vervolgens met een update de schadelijke Qakbot-malware verwijderd. Er zijn het afgelopen jaar wereldwijd 700.000 geïnfecteerde computers geïdentificeerd. Een schatting laat zien dat het botnet via ransomware voor honderden miljoenen schade heeft toegebracht aan bedrijven en overheidsinstellingen.

Grote criminele groepen kregen tegen betaling toegang tot geïnfecteerde computernetwerken om daar vervolgens ransomware op te installeren. De gebruikers van de geïnfecteerde computers waren zich niet bewust van de besmetting met de malware.

E-mails

De criminele organisatie achter Qakbot verspreidde sinds 2008 haar malware via miljoenen phishing mails en vormde zo een omvangrijk en complex netwerk van honderden servers waarmee computersystemen van slachtoffers misbruikt konden worden (ook wel een botnet genoemd). Sommige servers werden gebruikt om grip te houden op reeds geïnfecteerde slachtoffers en gegevens door te verkopen, andere om nieuwe slachtoffers te maken.

Qakbot is een zogenoemde ‘modulaire malwarefamilie’ die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is. Een besmetting van een computer met Qakbot-malware komt vaak tot stand via een phishingaanval per e-mail. Daarbij wordt het slachtoffer verleid om op een malafide link te klikken, bijvoorbeeld in een pdf-bestand, of een Word-bestand met macro’s te openen.