Leden van de Qakbot-ransomwarebende zijn nog steeds actief met het verspreiden van malware, constateren onderzoekers van Cisco Talos. Dit ondanks het eerder onschadelijk maken door de FBI.
In augustus van dit jaar wist de FBI met ‘Operation Duck Hunt’ de infrastructuur van de ransomwareverspreiders van het Qakbot-botnet te ontmantelen. De actie wist de activiteiten van de hackersbende flink te verstoren en zorgde ervoor dat duizenden met malware geïnfecteerde devices zich konden herstellen.
Onderzoekers van Cisco Talos hebben echter ontdekt dat de hackers achter Qakbot helaas nog steeds actief zijn. De hackers waren vlak voor de ontmanteling van hun infrastructuurnetwerk juist een nieuwe ransomwarecampagne gestart die nog steeds aan de gang is.
De actie van de FBI zou alleen de C&C-serverinfrastructuur van de ransomwareverspreiders hebben getroffen, maar niet hun e-mailcapaciteit voor het versturen van phishing-mail. Via deze mail zou nu een variant van de Cyclops/Ransom Knight ransomware worden verspreid, evenals de Remcos backdoor malware.
LNK-bestanden van dezelfde machine
De onderzoekers van Cisco Talos kwamen het blijvend verspreiden van de ransom- en malware op het spoor door metadata van LNK-bestanden uit de nieuwe campagne te vergelijken met die uit eerdere Qakbot-campagnes.
Zo werd bijvoorbeeld ontdekt dat nieuwe malafide LNK-bestanden op dezelfde machine werden aangemaakt als de eerdere bestanden. Daarna wees onderzoek van de payload uit dat deze een command line een network share gebruikten die als een variant van de Ransom Knight-ransomware diende.
Combinatie tussen backdoor en ransomware
De nu ontdekte voortgaande campagne richt zich vooral op financiële gegevens en wordt gevoerd via phishing mails. De mails bevatten vaak ook een ZIP-bestand met een XLL-extensie voor Excel. Deze installeert de backdoor Remcos. De backdoor wordt vaak gebruikt in combinatie met de Ransom Knight ransomware om toegang tot devices te krijgen en daarna verdere kwaadaardigheden uit te richten.
Lees ook: Qakbot: hoe de autoriteiten het grootste botnet ter wereld vernietigden
19 uur geleden
