Die Cyberkriminellen hinter der Qakbot-Malware sind offenbar noch aktiv. Cisco Talos hat im Rahmen einer Untersuchung alle Aktivitäten, die noch in Zusammenhang mit Qakbot stehen könnten, überwacht und stieß dabei auf eine Anfang August gestartete Kampagne, die auch nach dem jüngsten Versuch der Strafverfolgungsbehörden, die Qakbot-Infrastruktur zu zerstören, fortgesetzt wurde. Die im Zuge dieser Kampagne verwendeten Dateinamen sollen mit früheren Qakbot-Kampagnen übereinstimmen.

Qakbot gilt als einer der berüchtigsten Banking-Trojaner. Er stiehlt Nutzer:innendaten aus Unternehmensnetzwerken und installiert Ransomware anderer Trojaner auf möglichst vielen Geräten. Im August gab das FBI bekannt, im Zuge einer internationalen Operation die gesamte Qakbot-Infrastruktur inklusive 52 Server beschlagnahmt zu haben. Diese sei damit vollständig zerstört. Zu diesem Zeitpunkt hatte Qakbot bereits mehr als 700.000 Computer infiziert und Hunderte Millionen Dollar Schaden verursacht.

Allerdings soll es im Zuge der vermeintlichen Zerstörung der Qakbot-Infrastruktur keine Verhaftungen gegeben haben. Cisco Talos, einem Unternehmen für Cybersicherheitstechnologie und Informationssicherheit, zufolge arbeiten die Cyberkriminellen, die hinter der Qakbot-Malware stecken, deshalb bereits an einer neuen Operation. Als Teil dieser Operation sollen sie bereits die Ransomware Ransom Knight und die Remcos-Backdoor über Phishing-Mails verbreitet haben und damit auf der Suche nach neuen Opfern sein.

„Wir gehen davon aus, dass Qakbot auch in Zukunft eine erhebliche Bedrohung darstellen wird. Da die Betreiber weiterhin aktiv sind, könnten sie sich dazu entschließen, die Qakbot-Infrastruktur wieder aufzubauen, um ihre Aktivitäten aus der Zeit vor der Zerschlagung vollständig wieder aufzunehmen“, erklärte ein Sprecher von Cisco Talos. Die Aktivitäten von Qakbot vollständig zu beenden sei nur möglich, wenn die Menschen hinter dem Banking-Trojaner identifiziert, verhaftet und strafrechtlich verfolgt werden.