NCSC-Warnung
15.03.2022, 11:17 Uhr
«QakBot» wieder in der Schweiz aktiv
Die Schadsoftware «QakBot» treibt wieder vermehrt in der Schweiz ihr Unwesen. Hiervor warnt das NCSC.
(Quelle: Thomas «Thü» Hürlimann/Zugergrafik/Archiv-CW)
Seit einigen Tagen verzeichnet das Nationale Zentrum für Cybersicherheit (NCSC) eigenen Angaben zufolge viele Aktivitäten der Schadsoftware «QakBot» (auch bekannt als «QuakBot» oder «Qbot») in der Schweiz. Bei QakBot handelt es sich um einen Verschlüsselungstrojaner, der über E-Mails verbreitet wird.
Die Cyberkriminellen würden dabei häufig bestehende E-Mail-Konversationen von Unternehmen etwa mit Lieferanten und Kunden verwenden, die durch frühere Angriffe in ihre Hände geraten seien, schreibt das NCSC in einem aktuellen Warnhinweis. Sie missbrauchten diese als Einfallstor, um unbemerkt in Unternehmensnetzwerke einzudringen und danach Ransomware zu installieren.
Als Folge einer «Qakbot»-Infektion werden laut NCSC oftmals die Unternehmensdaten verschlüsselt und die Unternehmen durch die Angreifer zu einer Lösegeldzahlung aufgefordert. Das NCSC rät jedoch dringend von einer Lösegeldzahlung ab, sondern fordert die Betroffenen auf, unmittelbar Anzeige bei den Strafverfolgungsbehörden zu erstatten.
Verteilung via «OneDrive»
Der Ursprung der aktuelle «Qakbot»-Spam-Welle sei nicht auf die aktuellen Geschehnisse in Verbindung mit dem Ukraine-Konflikt zurückzuführen, betonen die Security-Experten des NCSC. Denn die Cyberkriminellen missbrauchten bestehende, legitime E-Mail-Konversationen der Unternehmen, die andere Themen beinhalten würden, als Vorwand, um das Opfer dazu zu animieren, auf einen Link zu klicken.
Die in den E-Mails aufgeführten Links erscheinen gemäss NCSC unverdächtig, da diese tatsächlich zur Microsoft Cloud-Plattform «OneDrive» zeigen. Klickt das Opfer jedoch auf den Link, wird ihm auf «OneDrive» ein mit einem Passwort geschütztes ZIP-Archiv angeboten. Darin verbirgt sich dann eine Excel-Datei, welche beim Ausführen der darin enthaltenen Makros den Computer des Opfers mit «Qakbot» infiziert.
Der erwähnte Modus-Operandi sei nicht neu, führt das NCSC weiter aus. Bereits im Dezember 2021 hat das NCSC vor ähnlichen Angriffen durch die Schadsoftware «Emotet» gewarnt. In der aktuellen Spamwelle scheinen die Angreifer jedoch die Schadsoftware nicht als E-Mail-Anhang, sondern ausschliesslich über Microsoft OneDrive zu verteilen. Dadurch lassen sich gemäss NCSC viele Spam- und Virenfilter austricksen, was zu einer erhöhten Risikoexposition für Unternehmen führt.