Qakbot, een van de grootste botnets uit de geschiedenis, is afgelopen weekeinde onschadelijk gemaakt. De infrastructuur speelde jarenlang een sleutelrol in de wereldwijde cybercriminaliteit.
Een internationale actie van politie- en justitiediensten zorgde voor het neerhalen van het botnet dat massaal werd gebruikt voor het uitvoeren van ransomware-aanvallen, financiële fraude en andere misdrijven.
Aan de operatie Duck Hunt, onder leiding stond van de Amerikaanse FBI, deden Nederland, Duitsland, Frankrijk, het Verenigd Koninkrijk, Roemenië en Letland mee. Bij het onderzoek waren vanuit Nederland ook Fox-IT, Northwave, het Nationaal Cyber Security Centrum en NFIR betrokken. Volgens de Amerikaanse advocaat Martin Estrada was de belangrijkste technologische en financiële operatie die de FBI ooit tegen een botnet heeft ondernomen.
In Nederland leidden de gezamenlijke inspanningen van het OM en het Team High Tech Crime in verschillende datacentra tot de inbeslagneming van 22 servers, die waren verbonden aan het kwaadaardige Qakbot. In Frankrijk en Duitsland zijn respectievelijk zes en acht computerservers offline gehaald. In totaal ging het wereldwijd om 52 servers. Het Amerikaanse ministerie van Justitie legde beslag op 8,6 miljoen dollar aan cryptovaluta.
Honderden miljoenen schade
De FBI in Los Angeles slaagde er in de controle over het botnet over te nemen en het verkeer erop om te leiden naar servers die in beheer waren bij de FBI. Op geïnfecteerde computersystemen is vervolgens met een update de schadelijke Qakbot-malware verwijderd. Er zijn het afgelopen jaar wereldwijd 700.000 geïnfecteerde computers geïdentificeerd. Een voorzichtige schatting laat zien dat het botnet via ransomware voor honderden miljoenen schade heeft toegebracht aan bedrijven en overheidsinstellingen.
Wat Qakbot zo gevaarlijk maakte, is dat de malware als het ware de deur opende voor andere vormen van cybercrime. Grote criminele groepen kregen tegen betaling toegang tot geïnfecteerde computernetwerken om daar vervolgens ransomware op te installeren.
De criminele organisatie achter Qakbot, volgens veiligheidsexperts vermoedelijk afkomstig uit Rusland, was al sinds 2008 actief. Qakbot is een zogenoemde modulaire malwarefamilie die allerlei aanvullende malware op systemen kan installeren, wachtwoorden uit browsers en e-mailclients steelt en zeer lastig te verwijderen is. Een besmetting van een computer met Qakbot-malware komt vaak tot stand via een phishingaanval per e-mail.
De Nederlandse politie heeft 7,6 miljard gestolen credentials van computergebruikers (e-mailadressen en inloggegevens) veiliggesteld. Op een speciale site is voor Nederlanders na te gaan of hun inloggegevens voorkomen.
