NCSC-Warnung 15.03.2022, 12:43 Uhr

«QakBot» wieder in der Schweiz aktiv

Die Schadsoftware «QakBot» treibt wieder vermehrt in der Schweiz ihr Unwesen. Hiervor warnt das NCSC.
(Quelle: Thomas «Thü» Hürlimann/Zugergrafik/Archiv-CW)
Seit einigen Tagen verzeichnet das Nationale Zentrum für Cybersicherheit (NCSC) eigenen Angaben zufolge viele Aktivitäten der Schadsoftware «QakBot» (auch bekannt als «QuakBot» oder «Qbot») in der Schweiz. Bei QakBot handelt es sich um einen Verschlüsselungstrojaner, der über E-Mails verbreitet wird.
Die Cyberkriminellen würden dabei häufig bestehende E-Mail-Konversationen von Unternehmen etwa mit Lieferanten und Kunden verwenden, die durch frühere Angriffe in ihre Hände geraten seien, schreibt das NCSC in einem aktuellen Warnhinweis. Sie missbrauchten diese als Einfallstor, um unbemerkt in Unternehmensnetzwerke einzudringen und danach Ransomware zu installieren.
Als Folge einer «Qakbot»-Infektion werden laut NCSC oftmals die Unternehmensdaten verschlüsselt und die Unternehmen durch die Angreifer zu einer Lösegeldzahlung aufgefordert. Das NCSC rät jedoch dringend von einer Lösegeldzahlung ab, sondern fordert die Betroffenen auf, unmittelbar Anzeige bei den Strafverfolgungsbehörden zu erstatten.

Verteilung via «OneDrive»

Der Ursprung der aktuelle «Qakbot»-Spam-Welle sei nicht auf die aktuellen Geschehnisse in Verbindung mit dem Ukraine-Konflikt zurückzuführen, betonen die Security-Experten des NCSC. Denn die Cyberkriminellen missbrauchten bestehende, legitime E-Mail-Konversationen der Unternehmen, die andere Themen beinhalten würden, als Vorwand, um das Opfer dazu zu animieren, auf einen Link zu klicken.
Die in den E-Mails aufgeführten Links erscheinen gemäss NCSC unverdächtig, da diese tatsächlich zur Microsoft Cloud-Plattform «OneDrive» zeigen. Klickt das Opfer jedoch auf den Link, wird ihm auf «OneDrive» ein mit einem Passwort geschütztes ZIP-Archiv angeboten. Darin verbirgt sich dann eine Excel-Datei, welche beim Ausführen der darin enthaltenen Makros den Computer des Opfers mit «Qakbot» infiziert.
Der erwähnte Modus-Operandi sei nicht neu, führt das NCSC weiter aus. Bereits im Dezember 2021 hat das NCSC vor ähnlichen Angriffen durch die Schadsoftware «Emotet» gewarnt. In der aktuellen Spamwelle scheinen die Angreifer jedoch die Schadsoftware nicht als E-Mail-Anhang, sondern ausschliesslich über Microsoft OneDrive zu verteilen. Dadurch lassen sich gemäss NCSC viele Spam- und Virenfilter austricksen, was zu einer erhöhten Risikoexposition für Unternehmen führt.
Artikel drucken
Jens Stark
Das könnte Sie auch interessieren
Branchen-Analyse vor 5 Tagen
Top 500: Hier gehts zur Voranmeldung
Auch dieses Jahr ermittelt Computerworld im Rahmen der «Top 500» die umsatzstärksten ICT-Firmen der Schweiz. Fehlt Ihr Unternehmen bislang? Dann melden Sie sich über unser Online-Formular an.
 
vor 5 Tagen
Hopp Schwiiz! vor 6 Tagen
Swisscom wird neue Partnerin von Schweizer Nati-Teams
Noch vor dem Start der Europameisterschaft haben Swisscom und der Schweizerische Fussballverband ihre Zusammenarbeit verkündet. Auch die Kunden sollen profitieren.
 
vor 6 Tagen
Swisscom 02.05.2024
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen «Disinformation & Destabilisation», «Manipulated Generative AI» und «Unsecure IoT/OT-Devices».
 
02.05.2024
Zum Welt-Passwort-Tag 01.05.2024
«95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen»
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
 
01.05.2024