US-Justizministerium nimmt mutmaßlichen Qakbot-Malware-Architekten ins Visier

WASHINGTON D.C. / LONDON (IT BOLTWISE) – Die US-Justizbehörden haben eine Anklage gegen Rustam Rafailevich Gallyamov, einen russischen Staatsbürger, enthüllt, der beschuldigt wird, eine der berüchtigtsten Malware-Bedrohungen der letzten Jahre, Qakbot, betrieben zu haben.

Die US-Justizbehörden haben eine Anklage gegen Rustam Rafailevich Gallyamov, einen russischen Staatsbürger, enthüllt, der beschuldigt wird, eine der berüchtigtsten Malware-Bedrohungen der letzten Jahre, Qakbot, betrieben zu haben. Gallyamov, 48 Jahre alt, soll das Gehirn hinter einer zehnjährigen Malware-Operation gewesen sein, die weltweit Tausende von Computern infizierte und eine Reihe von Ransomware-Angriffen ermöglichte. Seine angeblichen Aktivitäten brachten Millionen in Kryptowährung ein, von denen über 24 Millionen US-Dollar nun vom FBI beschlagnahmt wurden.

Die Anklage ist Teil von Operation Endgame, einer laufenden internationalen Strafverfolgungsinitiative zur Zerschlagung globaler Cyberkriminalitätsnetzwerke. An der Operation sind Behörden aus den USA, Frankreich, Deutschland, den Niederlanden, Dänemark, dem Vereinigten Königreich und Kanada beteiligt. “Dies ist eine klare Botschaft an Cyberkriminelle weltweit: Wir werden Sie finden, anklagen und das zurückholen, was Sie gestohlen haben”, sagte Matthew R. Galeotti, Leiter der Strafrechtsabteilung des Justizministeriums.

Qakbot, auch bekannt als Qbot, tauchte erstmals 2008 als Banking-Trojaner auf. Unter Gallyamovs angeblicher Führung entwickelte es sich zu einer Malware-Plattform, die ein globales Botnetz aufbaute, ein Netzwerk infizierter Maschinen, das Hackern eine Hintertür in private und Unternehmenssysteme bot. Ab 2019 wurde die Malware zunehmend als Sprungbrett für Ransomware-Angriffe genutzt. Staatsanwälte sagen, Gallyamov habe den Zugang zu infizierten Systemen an Cyberbanden vermietet, die dann Ransomware-Stämme wie REvil, Dopplepaymer, Conti und Black Basta auf Opfer weltweit losließen.

Im Gegenzug soll Gallyamov einen Anteil an den Lösegeldzahlungen erhalten haben, die in der Regel in Kryptowährung gezahlt wurden. “Er schrieb nicht nur Malware – er monetarisierte das Elend im globalen Maßstab”, sagte US-Staatsanwalt Bill Essayli aus dem Central District of California. “Und jetzt arbeiten wir daran, diese gestohlenen Gelder an die Opfer zurückzugeben.”

Im August 2023 gelang den USA und ihren Partnern ein bedeutender Schlag gegen die Operation, als sie die Qakbot-Infrastruktur in einer koordinierten Aktion störten. Diese Bemühungen führten zur Beschlagnahmung von 170 Bitcoin und über 4 Millionen US-Dollar in Stablecoins aus Gallyamovs digitalen Geldbörsen. Doch Gallyamov ließ sich nicht entmutigen, sagen die Beamten. Er änderte angeblich seine Taktik und setzte seine Angriffe fort – diesmal mit “Spam-Bomben”-Kampagnen, bei denen Mitarbeiter von Zielunternehmen mit bösartigen E-Mails überschwemmt wurden, um sie dazu zu bringen, die Tür zu neuen Infektionen zu öffnen.

Der Anklage zufolge setzten Gallyamov und seine Komplizen noch im Januar 2025 Ransomware, darunter Black Basta und Cactus, auf neu kompromittierten Systemen ein. “Selbst nachdem wir sein Botnetz ausgeschaltet hatten, fand er andere Wege, um wieder ins Geschäft zu kommen”, sagte Akil Davis, stellvertretender Direktor des FBI-Büros in Los Angeles. “Dieser Mann war unerbittlich. Aber das sind wir auch.”

Im April führten FBI-Agenten einen weiteren Beschlagnahmungsbefehl aus, bei dem über 30 Bitcoin und 700.000 US-Dollar in USDT-Token sichergestellt wurden. Zusammen mit früheren Beschlagnahmungen haben die Behörden nun mehr als 24 Millionen US-Dollar an mutmaßlich illegalen Kryptogewinnen gesperrt, die mit Gallyamov in Verbindung stehen. Eine heute eingereichte Zivilklage zielt darauf ab, diese Gelder dauerhaft zu konfiszieren und schließlich an die Opfer zurückzugeben.

Der Fall gegen Gallyamov ist das Ergebnis einer umfangreichen, mehrjährigen Untersuchung, die vom FBI-Büro in Los Angeles geleitet wurde, mit entscheidender Unterstützung von Partnern in Deutschland, Frankreich, den Niederlanden und Europol. Auch das Büro für internationale Angelegenheiten des DOJ spielte eine Schlüsselrolle, indem es über Grenzen hinweg digitale Beweise verfolgte und Beschlagnahmungen durchführte. Staatsanwälte der Computer Crime and Intellectual Property Section (CCIPS) des DOJ und des Central District of California bearbeiten den Fall.

Gallyamov wird weiterhin in Russland vermutet, und seine Auslieferungsaussichten bleiben unklar. Doch die Beamten sagen, dass es bei diesem Fall nicht nur um Strafverfolgung geht, sondern um Störung. Durch die Beschlagnahmung von Geldern, die Deaktivierung von Infrastrukturen und die öffentliche Enttarnung wichtiger Akteure hofft die Strafverfolgung, das Risiko für Cyberkriminelle zu erhöhen, die glauben, sie seien unantastbar. “Anklagen wie diese werden die Cyberkriminalität nicht über Nacht stoppen”, sagte ein FBI-Sprecher. “Aber sie machen es schwieriger, sich zu verstecken, zu profitieren und nachts ruhig zu schlafen, wenn man in dieser Welt ist.”

Wie immer ist eine Anklage lediglich eine Anschuldigung, und Gallyamov gilt bis zum Beweis seiner Schuld vor Gericht als unschuldig. Doch vorerst hat das DOJ seine Position klar gemacht: Cyberkriminalität hat reale Konsequenzen – selbst wenn sie internationale Grenzen überschreitet.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!