Der Vorfall
QakBot (auch bekannt als QBot, QuakBot oder Pinkslipbot) war eine der langlebigsten und anpassungsfähigsten Malware-Familien in der Geschichte der Cyberkriminalität. Erstmals 2007 als Banking-Trojaner entdeckt, der Zugangsdaten für Online-Banking stahl, entwickelte sich QakBot über 16 Jahre hinweg zu einer umfassenden Malware-Plattform, die als Einfallstor für Ransomware-Gruppen diente.
Auf dem Höhepunkt seiner Aktivität kontrollierte QakBot ein Botnet aus über 700.000 kompromittierten Computern weltweit. Die Malware infizierte Systeme in Unternehmen, Behörden, Krankenhäusern und bei Privatpersonen. Zwischen Oktober 2021 und April 2023 allein wurden nach FBI-Angaben rund 700.000 Rechner infiziert und Schäden von über 58 Millionen US-Dollar verursacht.
QakBot wurde von seinen Betreibern als „Malware-as-a-Service" an andere Cyberkriminelle vermietet. Die wichtigsten „Kunden" waren Ransomware-Gruppen: Conti, ProLock, Egregor, REvil, MegaCortex und Black Basta nutzten QakBot als Einfallstor, um ihre Ransomware auf bereits kompromittierten Systemen zu installieren.
Am 29. August 2023 gab das FBI die Operation „Duck Hunt" bekannt: In einer internationalen Aktion unter Beteiligung von Strafverfolgungsbehörden aus den USA, Frankreich, Deutschland, den Niederlanden, Großbritannien und Rumänien wurde die QakBot-Infrastruktur übernommen. Das FBI leitete den Botnet-Verkehr auf eigene Server um und verteilte ein Deinstallationstool an infizierte Rechner, das die QakBot-Malware entfernte. Es war eine der größten Botnet-Abschaltungen in der Geschichte.
Wie der Angriff funktionierte
QakBot war ein Musterbeispiel für mehrstufige, sich ständig weiterentwickelnde Malware:
Stufe 1 – Initiale Infektion per E-Mail: QakBot verbreitete sich primär über Phishing-E-Mails. Die Betreiber nutzten eine besonders effektive Technik: Sie kaperten bestehende E-Mail-Konversationen (sogenanntes „Thread Hijacking"). Die Malware las die E-Mail-Verläufe bereits infizierter Opfer aus und antwortete in deren Namen mit einer neuen Nachricht, die einen schädlichen Anhang oder Link enthielt. Da die E-Mail als Antwort auf eine echte Konversation erschien, war das Vertrauen des Empfängers deutlich höher.
Stufe 2 – Verschleierter Dropper: Die Anhänge variierten über die Jahre: Excel-Dateien mit Makros, OneNote-Dokumente mit eingebetteten Skripten, ZIP-Archive mit JavaScript-Dateien, PDF-Dokumente mit Links zu schädlichen Downloads, ISO-Dateien mit versteckten Executables. QakBot passte seine Infektionsmethoden kontinuierlich an neue Sicherheitsmaßnahmen an – als Microsoft Makros standardmäßig blockierte, wechselte QakBot zu OneNote und ISO-Dateien.
Stufe 3 – DLL-Sideloading und Prozessinjektion: Der initiale Dropper lud die eigentliche QakBot-DLL nach und nutzte DLL-Sideloading über legitime Windows-Programme, um sie auszuführen. Anschließend injizierte sich QakBot in legitime Windows-Prozesse wie explorer.exe oder wermgr.exe, um im Verborgenen zu arbeiten.
Stufe 4 – Persistenz: QakBot etablierte Persistenz über mehrere Mechanismen gleichzeitig: Scheduled Tasks, Registry-Run-Keys, manipulierte Verknüpfungen im Autostart-Ordner und – in neueren Versionen – versteckte Windows-Dienste. Diese Redundanz stellte sicher, dass QakBot auch dann überlebte, wenn ein Persistenzmechanismus entdeckt und entfernt wurde.
Stufe 5 – Datensammlung und laterale Bewegung: Einmal auf einem System installiert, sammelte QakBot Zugangsdaten, E-Mail-Inhalte, Browserdaten und Netzwerkinformationen. Die Malware bewegte sich lateral durch das Netzwerk, indem sie gestohlene Zugangsdaten nutzte und bekannte Schwachstellen wie EternalBlue oder PrintNightmare ausnutzte.
Stufe 6 – Nachladen der finalen Payload: In der letzten Stufe lud QakBot die Payload des „Kunden" nach – typischerweise Ransomware. Conti, Black Basta und andere Gruppen übernahmen an diesem Punkt und verschlüsselten die Systeme. QakBot hatte seine Arbeit getan: den Zugang geschaffen, die Verteidigung geschwächt und das Netzwerk kartiert.
Warum Virenscanner versagten
QakBot überlebte 16 Jahre, weil es sich ständig an die aktuelle Sicherheitslandschaft anpasste:
Die Malware wurde regelmäßig umgepackt und mit neuen Verschleierungstechniken versehen. Alle paar Wochen erschien eine neue Version, die bestehende Signaturen unterlief. Antivirenhersteller spielten ein permanentes Katz-und-Maus-Spiel, bei dem sie stets einen Schritt hinterher waren.
Die Infektionsmethoden änderten sich kontinuierlich. Als Virenscanner lernten, Excel-Makros zu blockieren, wechselte QakBot zu OneNote. Als OneNote-Dateien überwacht wurden, kamen ISO-Dateien zum Einsatz. Als ISO-Dateien geprüft wurden, nutzte QakBot PDF-Dateien mit Links zu infizierten OneNote-Dokumenten. Dieser ständige Wechsel überforderte regelbasierte Erkennungssysteme.
Die Prozessinjektion in legitime Windows-Prozesse wie explorer.exe machte die Erkennung besonders schwierig. Für einen Virenscanner sah es so aus, als würde der Windows Explorer normal arbeiten – die bösartigen Aktivitäten liefen im Verborgenen innerhalb eines vertrauenswürdigen Prozesses.
Das Thread-Hijacking in E-Mails umging auch menschliche Erkennung: Wenn eine E-Mail als Antwort auf eine echte, bekannte Konversation mit einem vertrauten Kollegen erscheint, klicken selbst geschulte Mitarbeiter auf den Anhang.
So hätte Deep Freeze geschützt
QakBots gesamtes Geschäftsmodell basierte auf dauerhafter Präsenz auf infizierten Systemen. Deep Freeze zerstört dieses Modell:
16 Jahre Persistenz – beendet beim nächsten Reboot: QakBots größte Stärke war seine Fähigkeit, sich dauerhaft auf einem System einzunisten und dort monatelang unentdeckt zu bleiben. Auf einer eingefrorenen Systempartition hätte QakBot genau bis zum nächsten Neustart überlebt. 16 Jahre Entwicklungsarbeit an Persistenz-Mechanismen – wertlos.
Alle Persistenz-Methoden werden gleichzeitig eliminiert: QakBot nutzte mehrere Persistenzmechanismen parallel (Registry, Scheduled Tasks, Dienste, Autostart). Einzeln zu finden und zu entfernen war aufwendig. Deep Freeze setzt alles gleichzeitig zurück – egal wie viele Persistenzmechanismen die Malware verwendet.
Thread-Hijacking verliert seine Grundlage: QakBot las E-Mail-Verläufe aus, um überzeugende Phishing-E-Mails zu erstellen. Auf einem eingefrorenen System, das regelmäßig zurückgesetzt wird, bleiben lokale E-Mail-Daten nicht dauerhaft abrufbar. Die Datenmenge, die QakBot für sein Thread-Hijacking sammeln kann, wird drastisch reduziert.
Das Ransomware-Geschäft bricht zusammen: QakBot verdiente Geld, indem es Ransomware-Gruppen Zugang zu bereits kompromittierten Netzwerken verkaufte. Wenn der Zugang bei jedem Neustart verloren geht, gibt es nichts zu verkaufen. Das gesamte Geschäftsmodell „Access-as-a-Service" funktioniert nicht mit eingefrorenen Systemen.
700.000 Rechner hätten sich selbst gereinigt: Die aufwendige Operation „Duck Hunt" des FBI – mit der Übernahme der Botnet-Infrastruktur und der Verteilung eines Deinstallationstools – wäre überflüssig gewesen. Ein Neustart hätte genügt.
Die Lehre
- Malware wird nicht alt, sie wird besser. QakBot wurde 16 Jahre lang weiterentwickelt, angepasst und optimiert. Jede neue Sicherheitsmaßnahme wurde umgangen. Deep Freeze muss nicht angepasst werden – der Mechanismus „Neustart = Originalzustand" funktioniert gegen jede Variante.
- Persistenz ist der Schlüssel zum Geschäftsmodell. Ohne dauerhaften Zugang zu infizierten Systemen können Cyberkriminelle weder Ransomware nachladen noch Zugänge verkaufen noch Daten langfristig exfiltrieren. Deep Freeze entzieht diesem Geschäftsmodell die Grundlage.
- E-Mail-basierte Angriffe werden immer überzeugender. Thread-Hijacking macht Phishing nahezu unerkennbar für menschliche Empfänger. Wenn selbst der beste Mitarbeiter getäuscht werden kann, brauchst Du einen Schutz, der nicht auf menschliche Erkennung angewiesen ist.
- Virenscanner können nicht mit der Anpassungsgeschwindigkeit moderner Malware mithalten. QakBot wechselte seine Methoden schneller, als Sicherheitsfirmen Signaturen erstellen konnten. Deep Freeze braucht keine Signaturen und keine Updates – es setzt einfach zurück.
- Das FBI brauchte eine internationale Operation, um QakBot zu stoppen. Mit Deep Freeze hätte jeder einzelne Nutzer seinen Rechner durch einen Neustart befreit – ohne auf die Strafverfolgung warten zu müssen.