Berygtet botnet bag 700.000 inficerede computere ser ud til at være genopstået fra de døde

Mange troede, at det berygtede botnet Qakbot var fortid. Men nu tyder det på, at botnettet er genopstået fra de døde.

Artikel top billede

(Foto: Kagenmi / Kagenmi)

Det berygtede botnet Qakbot, der gennem tiden har inficeret mere end 700.000 computere, blev i august i år slået tilbage ved en stor politiaktion, hvor det amerikanske forbundspoliti FBI slog til.

Her blev det oplyst, at man havde nedlagt botnettet med tilhørende malware og infrastruktur.

FBI gennemførte aktionen, der havde fået navnet 'Duck Hunt', sammen med myndigheder i Frankrig, Tyskland, Holland, Storbritannien, Rumænien og Letland og beslaglagde i den forbindelse 52 servere.

Men nu lader det altså til, at botnettet er ved at genopstå fra de døde.

Det oplyser Microsofts Threat Intelligence Team på det sociale medie X (tidligere Twitter).

Forsøger at genopbygge botnettet

Ifølge Microsofts sikkerhedsteam har cyberkriminelle i cirka en uge forsøgt at inficere deres ofres computere med Qakbot-software ved hjælp af phishing-mails for at genopbygge botnettet.

Ifølge Microsoft indeholder phishing-mailsne, der forsøger at genaktivere Qakbot-netværket, et manipuleret PDF-vedhæftning. En medarbejder i den amerikanske skattemyndighed IRS angives som afsender.

De første modtagere var hovedsageligt fra hotel- og restaurantbranchen.

Ifølge Threat Intelligence Team indeholder PDF-filerne en URL, der downloader en signeret Windows Installer som en .msi-fil. Når den eksekveres, udfører den en .dll-bibliotek, der indeholder Qakbot-koden.

Tidsstempler i skadekoden tyder på, at skadeprogrammet blev oprettet den 11. december og derfor var helt nyt og ikke identificerbart af antivirussoftware i starten af kampagnen.

Russisk oprindelse

Sikkerhedsanalytiker vurderer, at Qakbot stammer fra Rusland, og at botnettet er blevet brugt til ransomware-angreb, der har ramt erhvervsdrivende, sundhedsvæsenet samt offentlige myndigheder og forårsaget skade for millioner af dollar.

Det vurderes, at Qakbots bagmænd i alt har modtaget løsepenge fra ransomware-ofre for tæt på 400 millioner kroner.

Læses lige nu

    Event: Platform X 2027: Forretning, teknologi og transformation

    It-løsninger |

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27 maj 2027 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Jakob Dirksen, SVP, Nordic Customer Delivery & Operations hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Infrastructure Delivery & Operations. Han skal fremover især beskæftige sig med at lede Infrastructure Delivery & Operations, der har til opgave at drive og udvikle fibernetværket på tværs af virksomheden. Forfremmelse

    Jakob Dirksen

    GlobalConnect

    Immeo har pr. 1. maj 2026 ansat Sofie Amalie Buur som Consultant. Hun kommer fra en stilling som Frontend Engineer & UI/UX Designer hos Valyrion. Hun er uddannet Cand.it. Softwaredesign ved ITU. Nyt job
    Comsystem A/S har pr. 15. april 2026 ansat Iver Jakobsen som Technical Key Account Manager. Han skal især beskæftige sig med teknisk løsningssalg. Iver Jakobsen har 25 års erfaring fra TelCo-branchen. Han kommer fra en stilling som Key Account Manager hos E.ON Drive ApS. Han har tidligere beskæftiget sig med rådgivning og løsningssalg. Nyt job

    Iver Jakobsen

    Comsystem A/S