De FBI heeft 6,4 miljoen e-mailadressen en wachtwoorden van mensen die slachtoffer van de Qakbot-malware waren gedeeld met datalekzoekmachine Have I Been Pwned. 57 procent van de gecompromitteerde e-mailadressen was al via een ander datalek bij de zoekmachine bekend. Daarnaast gaat spambestrijder Spamhaus e-mailproviders, hostingbedrijven en andere organisaties waarschuwen om wachtwoorden van de getroffen accounts te resetten.
Gisterenavond werd bekend dat de FBI in samenwerking met internationale politiediensten, waaronder de Nederlandse politie, het Qakbot-botnet had uitgeschakeld. Qakbot was al zeker sinds 2011 actief. De malware werd verspreid via e-mailbijlagen. Eenmaal actief op een computer kon Qakbot inloggegevens stelen en andere malware installeren, waaronder ransomware. Het ging onder andere om de Black Basta-ransomware die via Qakbot werd geïnstalleerd, meldt securitybedrijf SecureWorks.
Dit jaar alleen werden meer dan 700.000 door Qakbot besmette computers geïdentificeerd. Tijdens de operatie werden meerdere servers in beslag genomen waar het botnet gebruik van maakte. Op deze servers werden ook gegevens van slachtoffers gevonden, waaronder 6,43 miljoen e-mailadressen en wachtwoorden. De FBI heeft deze data nu met Have I Been Pwned gedeeld. Via de zoekmachine kunnen gebruikers controleren of ze onderdeel van een datalek zijn.
In dit geval is de data door de zoekmachine als 'sensitive' bestempeld, wat inhoudt dat gebruikers eerst via de notificatiedienst moeten aantonen dat ze de eigenaar van het e-mailadres zijn. Daarnaast kunnen organisaties via de 'domain search' controleren of e-mailadressen die onderdeel van hun domeinnamen zijn in de dataset voorkomen. Verder zal Have I Been Pwned de wachtwoorden van Qakbot-slachtoffers beschikbaar maken via de Pwned Passwords service. Via deze dienst kunnen organisaties in honderden miljoenen gelekte wachtwoorden zoeken en voorkomen dat hun gebruikers daar gebruik van maken.
Informatie over slachtoffers werd ook gedeeld met spambestrijder Spamhaus. De organisatie zal de komende dagen e-mailproviders, hostingbedrijven en andere partijen waar deze accounts zijn gehost informeren en verzoeken om een wachtwoordreset uit te voeren, om zo de betreffende gebruikers te beschermen. Vandaag komt Spamhaus met verdere informatie over het opschoonproces.
Deze posting is gelocked. Reageren is niet meer mogelijk.