«Quakbot» wieder in der Schweiz aktiv

In den letzten Wochen verzeichnet das Nationale Zentrum für Cybersicherheit (NCSC) eigenen Angaben zufolge wieder Aktivitäten der Schadsoftware «QuakBot» in der Schweiz. Bei Quakbot (auch bekannt als «Qbot») handelt es sich um einen Verschlüsselungstrojaner, der über E-Mails verbreitet werden kann. Die Cyberkriminellen machen sich dabei vorhandene E-Mail-Konversationen zunutze, die früher in die Hände der Cyberganoven gefallen sind, wie das NCSC in einer Mitteilung schreibt. Das können beispielsweise Konversationen mit Lieferanten und Kunden sein, die als Einfallstor missbraucht werden, um unbemerkt in Unternehmensnetzwerke einzudringen und danach Ransomware zu verbreiten. Als Folge einer Quakbot-Infektion werden in der Regel Unternehmensdaten verschlüsselt und die Unternehmen von den Angreifern zu einer Lösegeldzahlung aufgefordert. Das NCSC rät dringend davon ab, Lösegeldzahlungen zu entrichten, und stattdessen unmittelbar Anzeige bei den Strafverfolgungsbehörden zu erstatten.

Für Unternehmen empfiehlt das NCSC zudem folgende Massnahmen:

• Blockieren Sie den Empfang von gefährlichen E-Mail-Anhängen auf Ihrem E-Mail-Gateway, dazu zählen auch Office-Dokumente mit Makros. Eine Empfehlung von zu sperrenden
  Dateianhängen finden Sie unter www.govcert.ch/downloads/blocked-filetypes.txt.
• Sollte Ihr Unternehmen Microsoft OneDrive nicht für geschäftliche Zwecke verwenden,
  empfiehlt das NCSC, zumindest temporär den Zugang zu Microsoft OneDrive (onedrive.live.com) auf dem Sicherheitsperimeter (z.B. Firewall, Web-Proxy usw.) zu sperren.
• Sperren Sie den Zugriff auf bekannte QakBot-Botnet-C&C-Server auf Ihrem Sicherheitsperimeter (z.B. Firewall, Web-Proxy usw.) anhand der Feodo-Tracker-Blockliste.
• Sperren Sie den Zugriff auf Webseiten auf Ihrem Sicherheitsperimeter (z.B. Firewall, WebProxy usw.), welche aktuell für die Verbreitung von Malware verwendet werden.