«Quakbot» wieder in der Schweiz aktiv

Cyberkriminelle missbrauchen wieder vermehrt legitime E-Mail-Konversationen von Unternehmen als Vorwand, um die Opfer auf vermeintliche Links zu lotsen. Betroffen sind vor allem Unternehmen, bei welchen direkt angeschriebene Mitarbeitende als Einfallstor für Angriffe mit Ransomware verwendet werden. 

QuakBot
Bild: depositphotos

In den letzten Wochen verzeichnet das Nationale Zentrum für Cybersicherheit (NCSC) eigenen Angaben zufolge wieder Aktivitäten der Schadsoftware «QuakBot» in der Schweiz. Bei Quakbot (auch bekannt als «Qbot») handelt es sich um einen Verschlüsselungstrojaner, der über E-Mails verbreitet werden kann. Die Cyberkriminellen machen sich dabei vorhandene E-Mail-Konversationen zunutze, die früher in die Hände der Cyberganoven gefallen sind, wie das NCSC in einer Mitteilung schreibt. Das können beispielsweise Konversationen mit Lieferanten und Kunden sein, die als Einfallstor missbraucht werden, um unbemerkt in Unternehmensnetzwerke einzudringen und danach Ransomware zu verbreiten. Als Folge einer Quakbot-Infektion werden in der Regel Unternehmensdaten verschlüsselt und die Unternehmen von den Angreifern zu einer Lösegeldzahlung aufgefordert. Das NCSC rät dringend davon ab, Lösegeldzahlungen zu entrichten, und stattdessen unmittelbar Anzeige bei den Strafverfolgungsbehörden zu erstatten.

Für Unternehmen empfiehlt das NCSC zudem folgende Massnahmen:

  • Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway, dazu zählen auch Office-Dokumente mit Makros. Eine Empfehlung von zu sperrenden
    Dateianhängen finden Sie unter www.govcert.ch/downloads/blocked-filetypes.txt.
  • Sollte Ihr Unternehmen Microsoft OneDrive nicht für geschäftliche Zwecke verwenden,
    empfiehlt das NCSC, zumindest temporär den Zugang zu Microsoft OneDrive (onedrive.live.com) auf dem Sicherheitsperimeter (z.B. Firewall, Web-Proxy usw.) zu sperren.
  • Sperren Sie den Zugriff auf bekannte QakBot-Botnet-C&C-Server auf Ihrem Sicherheitsperimeter (z.B. Firewall, Web-Proxy usw.) anhand der Feodo-Tracker-Blockliste.
  • Sperren Sie den Zugriff auf Webseiten auf Ihrem Sicherheitsperimeter (z.B. Firewall, WebProxy usw.), welche aktuell für die Verbreitung von Malware verwendet werden.
(Visited 200 times, 1 visits today)

Weitere Beiträge zum Thema

SICHERHEITSNEWS

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Sie können sich jederzeit abmelden!
close-link