Erst im August verkündete das FBI einen bedeutenden Sieg gegen Qbot (auch bekannt als Qakbot). Qbot hatte sich sich zu einem Malware-Lieferdienst entwickelt, der sich für verschiedenste cyberkriminelle Aktivitäten anbot und unter anderem für Ransomware-Angriffe genutzt wurde. Verbreitet hatte sich die Malware vor allem über Phishing-Kampagnen. In der im letzten Monat lancierten „Operation Duck Hunt“ hatte das FBI die Kontrolle über das Botnet übernommen, eine beträchtliche Anzahl betroffener Geräte identifiziert und teils sogar die Malware von infizierten Geräten entfernen können. Auch in Deutschland wurden Server lahmgelegt, die mit der Schadsoftware in Verbindung standen, wie das BKA mittteilte. „Die Zerschlagung von QBot war ein bedeutender Durchbruch im Kampf gegen die Cyberkriminalität“, kommentierte denn auch Maya Horowitz, Vice President Research beim Cyber-Security-Anbieter Check Point den Schlag gegen Qbot. „Wir dürfen jedoch nicht selbstgefällig werden, denn wenn einer fällt, wird ein anderer aufsteigen und seinen Platz einnehmen. Wir sollten alle wachsam bleiben, zusammenarbeiten und weiterhin eine gute Sicherheitshygiene über alle Angriffsvektoren hinweg praktizieren.“
Die Cyber-Sicherheitsbranche habe nach der Operation einen deutlichen Rückgang der Aktivitäten und negativen Auswirkungen von Qbot beobachtet, heißt es bei Check Point, doch aller Anstrengungen zum Trotz ist Qbot global noch immer die am weitesten verbreitete Malware. In dem aktuell von dem Unternehmen veröffentlichten Global Threat Index belegt Qbot in Deutschland den Platz 3 im Malware-Ranking nach Bedrohungspotential. Formbook ein Infostealer, der auf das Windows-Betriebssystem abzielt, belegt den ersten Platz. In Untergrund-Hacking-Foren als Malware as a Service (MaaS) vermarktet, verfügt Formbook über effiziente Techniken um Sicherheitstools zu umgehen. Neben dem Sammeln von Anmeldeinformationen aus verschiedenen Webbrowsern, protokolliert Formbook Tastatureingaben und kann, wenn von seinem C&C dazu angewiesen, Dateien herunterladen und ausführen. Auf den zweiten Platz hat sich CloudEyE vorgeschoben, ein Downloader, der zuvor als „GuLoader“ bekannt war und auf die Windows-Plattform abzielt. CloudEyE dient zum Herunterladen und Installieren bösartiger Programme auf den Computern von Opfern.
Auch eine Top-3-Liste der am häufigsten ausgenutzten Schwachstellen hat der Cyber-Sicherheitsanbieter Check Point veröffentlicht und macht damit darauf aufmerksam, dass im vergangenen Monat „HTTP Headers Remote Code Execution“ die Schwachstelle war, die für 40 Prozent der erfolgreichen Angriffe verantwortlich war. Die HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) ermöglicht es zwischen Client und Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann den Header verwenden, um beliebigen Code auf dem Opfercomputer zu platzieren oder auszuführen. Die an Platz zwei liegende Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) -Schwachstelle kann von entfernten Angreifer ausgenutzt werden, indem sie eine speziell gestaltete Anfrage an das Opfer senden und bei erfolgreicher Implementierung beliebigen Code auf dem Zielrechner ausführen. Die am dritthäufigsten genutzte Schwachstelle mit weltweiten Auswirkungen war die MVPower CCTV DVR Remote Code Execution (CVE-2016-20016) -Schwachstelle, die Remotecodeausführung ermöglicht.
