Botnets infiltreren ongezien de hardware van legitieme gebruikers om data te stelen en spam-mail te verspreiden. Een van de grootste hiervan was Qakbot, dat al sinds 2008 huishield. De Amerikaanse FBI wist tijdens Operation Duck Hunt de pc’s en servers van de Qakbot-criminelen over te nemen en uit te schakelen. Voor deze operatie kon het rekenen op internationale hulp met veel Nederlandse inbreng.
De Politie spreekt over het onschadelijk maken van het “grootste wereldwijde botnet”, voor zover bekend. Alleen al in het afgelopen jaar wist Qakbot 700.000 computers wereldwijd te infecteren en heeft het voor miljoenen euro’s aan schade gezorgd.
Wat is (of was) Qakbot?
De Qakbot-malware was oorspronkelijk ontworpen in 2008 om fraude mogelijk te maken: het stal eerst alleen bankgegevens en websitecookies. In al die jaren tijd heeft het gaandeweg steeds meer data weten buit te maken, zoals inloggegevens voor e-maildiensten. De groep die erachter zat, kon deze informatie verkopen op de dark web of toegang verlenen aan de pc’s van slachtoffers voor andere cybercrimedaden. Dit fenomeen van verhandeling van gestolen data duidt op de aanhoudende professionalisering die heeft plaatsgevonden bij hackergroepen.
Tip: Genesis Market: hoe werkte deze criminele marktplaats en hoe werd hij opgerold?
De infectie verliep op verschillende manieren. Naast het exploiteren van zero-day Windows-kwetsbaarheden verspreidde het zich via phishing-e-mails die bijvoorbeeld Word- of Excel-bestanden bevatten met kwaadaardige macro’s. Ook kwamen er OneNote-bestanden voor met gevaarlijke embedded files of ISO-attachments.
Vervolgens bleek Qakbot extreem lastig te detecteren: de enige merkbare impact voor de eindgebruiker was een trager systeem en verhoogd netwerkverkeer, hoeveel de effecten hiervan praktisch miniscuul zijn. Kortom: naar alle waarschijnlijkheid hadden slachtoffers zowat altijd geen flauw idee dat er iets mis was. De Qakbot-executable wist zich te verbergen in het geheugen van typische Windows-achtergrondprocessen.
Elk geïnfecteerde systeem was aan te sturen via servers die wereldwijd waren verspreid. Qakbot-admins konden het botnetleger dus centraal beheren, waardoor men de software kon inzetten als sluis voor andere malware. Bekende ransomware-bendes zoals Conti, ProLock en Black Basta maakten er dankbaar gebruik van. De mensen achter Qakbot wisten er goed aan te verdienen, zoals bleek toen de FBI Operation Duck Hunt had uitgevoerd.
De ondergang van het botnetleger
Afgelopen vrijdagnacht was het zover. De Amerikaanse FBI coördineerde met de autoriteiten in Nederland, Frankrijk, Duitsland, het Verenigd Koninkrijk, Roemenië en Letland om gezamenlijk Qakbot onderuit te halen.
Door via een geïnfecteerde machine te communiceren met een server van Qakbot, kon de FBI vanuit Los Angeles een tool verspreiden over het gehele botnet die de software uit het geheugen wiste. Omdat de malware enkel aanwezig was binnen dat stukje geheugen, had het een minimale impact op eindgebruikers. Deze techniek debuteerde tijdens Operation Duck Hunt, we mogen verwachten dat deze vaker toegepast zal worden.
Daar bleef het niet bij: de servers waar Qakbot op draaiden, werden in beslag genomen en uitgeschakeld. In Nederland stonden er 22 servers die inmiddels uit de lucht zijn; in Duitsland waren er 8, in Frankrijk 6. De FBI verkreeg eveneens toegang tot de computer van een Qakbot-admin die de gegevens van cryptovaluta bevatte. In totaal is er omgerekend 8,6 miljoen euro aan cryptomunten in beslag genomen door de Amerikaanse autoriteiten.
En de schade?
Het is moeilijk in te schatten hoeveel schade Qakbot heeft aangericht. Wel zijn er sporen van vernieling bekend. De eerder genoemde ransomware-groepen maakten er dus gebruik van: de Qakbot-criminelen waren dus medeplichtig voor de miljoenen euro’s aan schade die daardoor veroorzaakt zijn.
Ook benoemt FBI-directeur Christopher Wry welke gevolgen een aantal cyber-incidenten hadden. Twee jaar geleden konden ransomware-criminelen dankzij Qakbot een uitgeverij voor omgerekend 4,5 miljoen euro afpersen. Ook werd het botnet gebruikt om vorig jaar een zorgverlener te beroven van gigabytes aan persoonsgegevens. Later lekte deze data op de dark web.
De Politie laat weten dat er wel 7,6 miljard persoonsgegevens veiliggesteld zijn (e-mailadressen en inloggegevens). Op politie.nl/checkjehack is te zien of uw eigen data hierin voorkomt.
Hoofd Team High Tech Crime bij de Politie Matthijs van Amelsfort gaf tegenover NPO Radio 1 aan dat de internationale samenwerking belangrijk is geweest om het netwerk op te rollen. Cybercrime is een wereldwijd fenomeen en respecteert geen landsgrenzen. Naast de expertise bij staatsorganen werd er dus ook geleund op de informatie beschikbaar vanuit securitybedrijven. Zo kan een partij als Fox-IT of Northwave de politie assisteren met het vormen van een actueel dreigingsbeeld.
De les uit Operation Duck Hunt zal niet alleen zijn dat internationalisering van cybercrime-beleid nodig is, maar ook dat de criminelen zich continu kunnen verplaatsen. Immers is het wereldwijde netwerk aan digitale gevaren complexer dan ooit. Daar waar Genesis Market eerder dit jaar werd opgedoekt, kan er geleidelijk een nieuwe illegale marktplaats voor persoonsgegevens ontstaan. Het is echter zaak om de grootste spelers uit te schakelen waardoor de drempel om deze misdaden te plegen weer hoger ligt.
Lees ook: AI-tools helpen met cybercrime: hackers experimenteren erop los
18 uur geleden
