In een gezamenlijke, internationale actie van politie- en justitiediensten is Qakbot, wereldwijd een van de grootste botnets, onschadelijk gemaakt. De grootste operatie ooit tegen een botnet infrastructuur gebeurde in de nacht van vrijdag op zaterdag door de autoriteiten in de Verenigde Staten, Nederland, Duitsland, Frankrijk, het Verenigd Koninkrijk, Roemenië en Letland. De internationale operatie met de naam ‘Duck Hunt’ stond onder leiding van de Verenigde Staten.
In Nederland leidde de gezamenlijke inspanningen van het Landelijk Parket van het OM en het Team High Tech Crime van de Landelijke Eenheid van de Politie in verschillende datacentra tot de inbeslagneming van 22 servers. Ze waren allemaal verbonden aan het kwaadaardige Qakbot. Ook in Frankrijk (6) en Duitsland (8) gingen computerservers offline.
Qakbot, ook wel ‘Qbot’ en ‘Pinkslipbot’ en onder nog andere namen, maakte het voor cybercriminelen mogelijk om vooral ransomware-aanvallen uit te voeren en financiële fraude en andere misdrijven te plegen. Het Amerikaanse ministerie van Justitie legde beslag op 8,6 miljoen dollar aan cryptovaluta.
De FBI in Los Angeles slaagde er vrijdagnacht in de controle over het wereldwijde Qakbot over te nemen en het botnet te deactiveren. Het Qakbotverkeer werd daarna omgeleid naar servers die in beheer waren bij de FBI. Op geïnfecteerde computersystemen is vervolgens met een update de schadelijke Qakbot-malware verwijderd. Het ging het afgelopen jaar wereldwijd om zeker 700.000 geïnfecteerde computers. Een voorzichtige schatting laat zien dat het botnet via ransomware voor honderden miljoenen schade heeft toegebracht aan bedrijven en overheidsinstellingen.
Open deur
Qakbot had de afgelopen jaren een sleutelrol in de wereldwijde cybercriminaliteit. Wat Qakbot zo gevaarlijk maakte, is dat de malware als het ware de deur opende voor andere vormen van cybercrime. Grote criminele groepen kregen tegen betaling toegang tot geïnfecteerde computernetwerken om daar vervolgens ransomware op te installeren. De gebruikers van de geïnfecteerde computers waren zich niet bewust van de besmetting met de malware.
De criminele organisatie achter Qakbot verspreidde sinds 2008 haar malware via miljoenen phishing-mails en vormde zo een omvangrijk en complex netwerk van honderden servers waarmee computersystemen van slachtoffers misbruikt konden worden. Via sommige servers konden de criminelen grip houden op reeds geïnfecteerde slachtoffers en gegevens door te verkopen, andere om nieuwe slachtoffers te maken.
Qakbot is een ‘modulaire malwarefamilie’ die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is. Een besmetting van een computer met Qakbot-malware komt vaak tot stand via een phishingaanval per e-mail.
Daarbij wordt het slachtoffer verleid om op een malafide link te klikken, bijvoorbeeld in een pdf-bestand, of een Word-bestand met macro’s te openen. De cybercriminelen achter Qakbot gebruikten verschillende soorten ‘lokaas’ om nietsvermoedende gebruikers te misleiden en te laten toehappen om de kwaadaardige bijlagen te openen.
Check je hack
De Nederlandse politie was door de actie in staat om 7,6 miljard gestolen credentials van computergebruikers (e-mailadressen en inloggegevens) veilig te stellen. Op www.politie.nl/checkjehack kun je nagaan of jouw inloggegevens voorkomen in de op dit moment geverifieerde dataset uit dit onderzoek.
Op deze pagina kun je je e-mailadres invoeren. Als jouw e-mailadres voorkomt in de huidige dataset, ontvang je binnen enkele minuten een e-mail van de politie op het ingevoerde e-mailadres. In deze e-mail staat meer info over wat je vervolgens kunt doen. Alle slachtofferdata worden ook beschikbaar gesteld via internationale partners en via organisaties als HaveIBeenPwned en Spamhaus.
Goede samenwerking is een randvoorwaarde om succesvol te zijn in de bestrijding van cybercrime. Daarom hebben het Landelijk Parket en Team High Tech Crime van de Landelijke Eenheid voor het Nederlandse onderzoek nauw samengewerkt met publieke en private partijen. Bij dit onderzoek waren Fox-IT, Northwave, het Nationaal Cyber Security Centrum (NCSC) en NFIR aangesloten. Politie en justitie investeren in een structureel samenwerkingsverband met deze en andere organisaties.
Lees ook:
- Hoe beheers je bedrijfs- en beroepsaansprakelijkheid in het digitale tijdperk?
- Data zijn het nieuwe goud, maar wie is de eigenaar van data?
