Die Cyberwelt ist ständig in Bewegung, und immer wieder tauchen neue Bedrohungen auf, die sich gegen Unternehmen, Organisationen und Privatpersonen richten. Eine der berüchtigtsten Cyberbedrohungen in den letzten Jahren ist das Botnetz QakBot, auch bekannt unter Namen wie QBot, Quakbot oder Pinkslipbot. Nun haben die US-Behörden einen Russen, Rustam Rafajlewik Galjamow, offiziell beschuldigt, hinter der Erschaffung und dem Betrieb dieses Botnets zu stehen. Diese Anklage wirft ein grelles Licht auf die Komplexität moderner Cyberkriminalität und den internationalen Aufwand, ihr entgegenzutreten. QakBot ist bereits seit 2008 aktiv und hat sich über die Jahre von einem klassischen Banking-Trojaner zu einem multifunktionalen Schadprogramm entwickelt.
Das Geheimnis seiner Weite Verbreitung liegt in seiner vielseitigen Funktionalität und Anpassungsfähigkeit. Ursprünglich war QakBot darauf ausgelegt, Zugangsdaten für Online-Banking zu stehlen. Doch inzwischen agiert es als Schadsoftware-Loader, der eine Vielzahl weiterer Schadprogramme auf infizierten Systemen installieren kann. Neben dem Diebstahl von Daten ermöglicht es QakBot auch das Laterale Bewegen innerhalb von Netzwerken, was es Angreifern erlaubt, sich tief in Unternehmensumgebungen festzusetzen. Die Verbreitung von QakBot erfolgt meist über Phishing-Kampagnen, bei denen die Opfer E-Mails mit manipulierten Anhängen oder Links erhalten.
Diese Anhänge enthalten schädliche Dokumente oder Verknüpfungen, die beim Öffnen die Malware unbemerkt auf dem System installieren. Sobald das Schadprogramm aktiv ist, nutzt es legitime Systemprozesse wie wermgr.exe oder AtBroker.exe, um sich vor Antivirus-Software zu verstecken und eine lange Lebensdauer auf dem infizierten Computer zu sichern. Nach dem Einbruch durchsucht QakBot die lokale Umgebung nach wertvollen Daten – von E-Mails über Zugangsinformationen bis hin zu vertraulichen Geschäftsdokumenten.
Diese Daten werden anschließend genutzt, um weitere Phishing-Angriffe zu starten oder von Dritten gehandelt zu werden. Zusätzlich wird der Zugriff auf infizierte Rechner oftmals an andere Kriminelle verkauft. Dies führt dazu, dass weitere Ransomware-Familien wie Black Basta, Cactus, Conti und andere auf solche Systeme gelangen und dort großen Schaden anrichten können. Laut der Anklageschrift und den Ermittlungen der US-Justiz soll Galjamow seit 2008 maßgeblich an der Entwicklung, Implementierung und Steuerung von QakBot beteiligt gewesen sein. Besonders zwischen 2019 und heute wurde das Botnetz von ihm und seiner Gruppierung intensiv betrieben und weltweit verbreitet.
Insgesamt sollen über 700.000 Rechner infiziert worden sein. Die Opfer stammen aus verschiedenen Branchen, darunter Gesundheitswesen, Versicherungen, Produktion, Marketing, Musikindustrie, Immobilien, Technologie und Telekommunikation – insbesondere in den USA. Die Behörden gehen davon aus, dass Galjamow und seine Komplizen nicht nur die Schadsoftware verbreiteten, sondern auch Erlöse aus Erpressungen erhielten. Sie forderten Lösegelder, um Daten der Opfer wiederherzustellen oder deren Veröffentlichung zu verhindern, wobei sie sich eine Provision von den gezahlten Summen sicherten.
Eine großangelegte Strafverfolgungsoperation namens „Duck Hunt“ wurde im August 2023 durchgeführt. Diese richtete sich gezielt gegen die Infrastruktur von QakBot und konnte den Botnet-Teil parallel erheblich schwächen und teilweise zerstören. Dabei wurden Kriminellen Millionen Dollar an Kryptowährungen konfisziert. Trotz dieser Maßnahmen setzte das Botnetz seine Aktivitäten jedoch fort, mit neuen Angriffen und der Verbreitung weiterer Schadsoftware. Im April 2025 wurde Galjamow im Rahmen dieser internationalen Operation „Endspiel“ mit einem Gerichtsbeschluss konfrontiert, bei dem ihm Kryptowährungen im Wert von 4 Millionen Dollar entzogen wurden.
Die Gesamtsumme der illegal erwirtschafteten Gelder wird auf rund 24 Millionen Dollar geschätzt. Die Ermittler hoffen, diese Mittel den betroffenen Unternehmen und Institutionen zurückgeben zu können. Die Operation „Endspiel“ umfasst neben den Aktionen gegen QakBot auch die Zerschlagung weiterer bedrohlicher Botnets und Schadsoftware. So gelang unter anderem die Liquidierung des DanaBot-Botnets und die Beschlagnahmung von Infrastruktur des Lumma-Stealers, ebenfalls Teil krimineller Spionage und Diebstahls von sensiblen Daten. Der Fall Galjamow verdeutlicht die zunehmende Komplexität der Cyberkriminalität, die oft grenzüberschreitend agiert und verschiedene Straftatbestände kombiniert.
Die Zusammenarbeit internationaler Strafverfolgungsbehörden ist essentiell, um solche Netzwerke zu bekämpfen. Zugleich zeigt das Beispiel QakBot, wie gefährlich zeitgemäße Malware geworden ist, da sie nicht nur einzelne Geräte infiziert, sondern ganze Unternehmensnetzwerke lahmlegen und finanzielle Schäden in Milliardenhöhe verursachen kann. Unternehmen sind verstärkt gefordert, ihre IT-Sicherheitsmaßnahmen zu optimieren, regelmäßige Schulungen zum Erkennen von Phishing-Mails anzubieten und moderne Schutzmechanismen zu implementieren. Dabei spielen auch schnelle Reaktionspläne für den Ernstfall eine entscheidende Rolle, um größere Schäden zu verhindern. Insgesamt stellt die Anklage gegen den russischen Hacker Rustam Galjamow einen wichtigen Schritt im Kampf gegen Cyberkriminalität dar.
Die konsequente Verfolgung solcher Täter sendet eine klare Botschaft an die globale Hacker-Community. Gleichzeitig unterstreicht sie die Notwendigkeit von Wachsamkeit und Zusammenarbeit auf allen Ebenen, um der wachsenden Bedrohung durch Botnets und Ransomware Herr zu werden. Nur durch kontinuierliche Innovation in der Cybersicherheit, verbunden mit internationalem Austausch, können die Risiken für Unternehmen und Individuen minimiert werden. Die Geschichte von QakBot ist ein warnendes Beispiel dafür, wie sich Cyberangriffe weiterentwickeln und welche Herausforderungen auf dem Weg zu einer sicheren digitalen Welt noch zu bewältigen sind.
