image

6,4 miljoen e-mailadressen en wachtwoorden Qakbot-slachtoffers gedeeld met HIBP

woensdag 30 augustus 2023, 09:29 door Redactie, 8 reacties

De FBI heeft 6,4 miljoen e-mailadressen en wachtwoorden van mensen die slachtoffer van de Qakbot-malware waren gedeeld met datalekzoekmachine Have I Been Pwned. 57 procent van de gecompromitteerde e-mailadressen was al via een ander datalek bij de zoekmachine bekend. Daarnaast gaat spambestrijder Spamhaus e-mailproviders, hostingbedrijven en andere organisaties waarschuwen om wachtwoorden van de getroffen accounts te resetten.

Gisterenavond werd bekend dat de FBI in samenwerking met internationale politiediensten, waaronder de Nederlandse politie, het Qakbot-botnet had uitgeschakeld. Qakbot was al zeker sinds 2011 actief. De malware werd verspreid via e-mailbijlagen. Eenmaal actief op een computer kon Qakbot inloggegevens stelen en andere malware installeren, waaronder ransomware. Het ging onder andere om de Black Basta-ransomware die via Qakbot werd geïnstalleerd, meldt securitybedrijf SecureWorks.

Dit jaar alleen werden meer dan 700.000 door Qakbot besmette computers geïdentificeerd. Tijdens de operatie werden meerdere servers in beslag genomen waar het botnet gebruik van maakte. Op deze servers werden ook gegevens van slachtoffers gevonden, waaronder 6,43 miljoen e-mailadressen en wachtwoorden. De FBI heeft deze data nu met Have I Been Pwned gedeeld. Via de zoekmachine kunnen gebruikers controleren of ze onderdeel van een datalek zijn.

In dit geval is de data door de zoekmachine als 'sensitive' bestempeld, wat inhoudt dat gebruikers eerst via de notificatiedienst moeten aantonen dat ze de eigenaar van het e-mailadres zijn. Daarnaast kunnen organisaties via de 'domain search' controleren of e-mailadressen die onderdeel van hun domeinnamen zijn in de dataset voorkomen. Verder zal Have I Been Pwned de wachtwoorden van Qakbot-slachtoffers beschikbaar maken via de Pwned Passwords service. Via deze dienst kunnen organisaties in honderden miljoenen gelekte wachtwoorden zoeken en voorkomen dat hun gebruikers daar gebruik van maken.

Informatie over slachtoffers werd ook gedeeld met spambestrijder Spamhaus. De organisatie zal de komende dagen e-mailproviders, hostingbedrijven en andere partijen waar deze accounts zijn gehost informeren en verzoeken om een wachtwoordreset uit te voeren, om zo de betreffende gebruikers te beschermen. Vandaag komt Spamhaus met verdere informatie over het opschoonproces.

Reacties (8)
30-08-2023, 09:32 door Anoniem
De FBI heeft dus ook de Encryptie keys kunnen achterhalen.
https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/
30-08-2023, 10:58 door Anoniem
De FBI Uninstaller staat nu op VirusTotal met naam FBI uninstaller for QBOT Takedown.

sha256 = 7cdee5a583eacf24b1f142413aabb4e556ccf4ef3a4764ad084c1526cc90e117

https://www.virustotal.com/gui/file/7cdee5a583eacf24b1f142413aabb4e556ccf4ef3a4764ad084c1526cc90e117/community
30-08-2023, 11:00 door Anoniem
Door Anoniem: De FBI heeft dus ook de Encryptie keys kunnen achterhalen.
https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/
Ja,en?
30-08-2023, 13:22 door Anoniem
Van die spamhauzen heb ik alleen maar last. Is het iemand al opgevallen dat al die sites van die spambestrijders er naar uitzien dat ze 30 jaar geleden met Microsoft Frontpage gemaakt zijn? Ik heb een IP waar een jaar voordat ik het had blijkbaar twee spam mailtjes gemeld waren. Waardoor ik zes maanden lang niet op gmails kon antwoorden. Voordat mijn IP "reputation" en domein "reputation" weer goed stonden. En met Google kun je niet praten. Die zijn nooit thuis. IP's zijn schaars, dus een "schoon" IP krijgen ook lastig.

Het zijn allemaal achterhaalde kliklijnsystemen.

Mocht ik van zo een spamhaus een email krijgen dat er een wachtwoord gecomprimitteerd zou kunnen zijn, dan gaat die gelijk in de spam folder.
30-08-2023, 13:46 door Anoniem
Door Anoniem:
Door Anoniem: De FBI heeft dus ook de Encryptie keys kunnen achterhalen.
https://www.bleepingcomputer.com/news/security/how-the-fbi-nuked-qakbot-malware-from-infected-windows-pcs/
Ja,en?

Hierdoor was de FBI instaat om de TIER-1 node an het BOT over te nemen en hun eigen encryptie keys the installeren.
https://www.secureworks.com/blog/law-enforcement-takes-down-qakbot

Met het commando QPCMD_BOT_SHUTDOWN kwam er een einde aan dit BOT netwerk.
30-08-2023, 16:40 door Anoniem
De Nederlandse politie heeft 7,6 miljard gestolen e-mailadressen en wachtwoorden, maar de FBI maar 6,4 miljoen?
30-08-2023, 23:04 door Briolet
Door Anoniem: De Nederlandse politie heeft 7,6 miljard gestolen e-mailadressen en wachtwoorden, maar de FBI maar 6,4 miljoen?

Vond ik ook verbazend. Dit doet bijna denken aan een vertaalfout uit het Engels bij een van beide. (miljoen/miljard).

Het lage getal zijn unieke mailadressen. Het hoge getal zijn combinaties mailadres met wachtwoord. Een persoon kan best 10 tot 100 verschillende accounts met unieke wachtwoorden hebben bij zijn mailadres. Maar een factor 1000 lijkt me heel sterk voor de bulk van de mensen.
31-08-2023, 14:33 door Anoniem
Sommige virus scanners zien de FBI uninstaller ook als een Trojan.

https://www.virustotal.com/gui/file/7cdee5a583eacf24b1f142413aabb4e556ccf4ef3a4764ad084c1526cc90e117/detection
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.