Det berygtede botnet Qakbot, der gennem tiden har inficeret mere end 700.000 computere, blev i august i år slået tilbage ved en stor politiaktion, hvor det amerikanske forbundspoliti FBI slog til.
Her blev det oplyst, at man havde nedlagt botnettet med tilhørende malware og infrastruktur.
FBI gennemførte aktionen, der havde fået navnet 'Duck Hunt', sammen med myndigheder i Frankrig, Tyskland, Holland, Storbritannien, Rumænien og Letland og beslaglagde i den forbindelse 52 servere.
Men nu lader det altså til, at botnettet er ved at genopstå fra de døde.
Det oplyser Microsofts Threat Intelligence Team på det sociale medie X (tidligere Twitter).
Forsøger at genopbygge botnettet
Ifølge Microsofts sikkerhedsteam har cyberkriminelle i cirka en uge forsøgt at inficere deres ofres computere med Qakbot-software ved hjælp af phishing-mails for at genopbygge botnettet.
Ifølge Microsoft indeholder phishing-mailsne, der forsøger at genaktivere Qakbot-netværket, et manipuleret PDF-vedhæftning. En medarbejder i den amerikanske skattemyndighed IRS angives som afsender.
De første modtagere var hovedsageligt fra hotel- og restaurantbranchen.
Ifølge Threat Intelligence Team indeholder PDF-filerne en URL, der downloader en signeret Windows Installer som en .msi-fil. Når den eksekveres, udfører den en .dll-bibliotek, der indeholder Qakbot-koden.
Tidsstempler i skadekoden tyder på, at skadeprogrammet blev oprettet den 11. december og derfor var helt nyt og ikke identificerbart af antivirussoftware i starten af kampagnen.
Russisk oprindelse
Sikkerhedsanalytiker vurderer, at Qakbot stammer fra Rusland, og at botnettet er blevet brugt til ransomware-angreb, der har ramt erhvervsdrivende, sundhedsvæsenet samt offentlige myndigheder og forårsaget skade for millioner af dollar.
Det vurderes, at Qakbots bagmænd i alt har modtaget løsepenge fra ransomware-ofre for tæt på 400 millioner kroner.