Die IT-Sicherheitsindustrie schlägt zurück: ESET-Forscher beteiligten sich an einer weltweiten Operation gegen das TrickBot-Botnetz, das seit 2016 über eine Million Computer infiziert hat. Zusammen mit Microsoft, Black Lotus Labs Threat Research von Lumen, NTT und weiteren Unternehmen hat die Offensive das global agierende eCrime-Netzwerk TrickBot massiv unter Druck gesetzt. Dank der gemeinsamen Aktion ist es gelungen, einen wichtigen Schlag gegen das Rückgrat des Cyber-Crime-Netzwerks durchzuführen und deren Command-and-Control-Server lahmzulegen. ESET trug mit detaillierten technischen Analysen, statistischen Informationen, Domänen-Namen und IPs der Command- und Control-Server zum erfolgreichen Verlauf bei. Das weltgrößte Botnet ist vor allem für den Diebstahl von Zugangsdaten und die Verbreitung von Banking-Trojanern bekannt. Neueste Erkenntnisse zeigten zudem, dass die Täter ihr eCrime-Portfolio weiter ausgebaut haben und TrickBot als Übertragungsmechanismus für umfassendere Angriffe und weitreichende Schadcode-Infiltrationen nutzen. Diese umfassten u.a. auch Ransomware-Angriffe auf Unternehmen und Organisationen.
ESET Forscher verfolgen die Aktivitäten des weltumspannenden eCrime-Netzwerkes TrickBot seit seiner ersten Entdeckung Ende 2016. Allein in diesem hat ESET mit Hilfe seiner Botnet-Tracker-Plattform mehr als 125.000 neue TrickBot-Computerschädlinge analysiert. Zusätzlich konnten mehr als 40.000 Konfigurationsdateien heruntergeladen und entschlüsselt werden, die in den verschiedenen TrickBot-Modulen zum Einsatz kamen.
„Wir beobachten das Botnetz seit Jahren und entdeckten immer wieder dessen Weiterentwicklungen. Das macht es zu einem der größten und langlebigsten Netze von gekaperten Rechnern“, erklärt Jean-Ian Boutin, Leiter der ESET Research-Abteilung. „Zudem ist TrickBot eine der am weitesten verbreiteten Banking-Malware-Familien und stellt somit eine ernstzunehmende Bedrohung für alle Internetnutzer dar.“
Der Schadcode wurde jahrelang sehr erfolgreich auf unterschiedlichste Weise verbreitet. Seit kurzem beobachteten die ESET Sicherheitsexperten eine neue Entwicklung: TrickBot wurde vorzugsweise auf Systemen installiert, die bereits mit dem bekannten Schadcode Emotet infiziert und schon Teil dessen Botnets waren. In der Vergangenheit setzten die Betreiber die TrickBot-Malware primär als Banking-Trojaner ein. Ziel war der Diebstahl von Zugangsdaten von Online-Bankkonten und die Durchführung von betrügerischen Überweisungen. In der jüngsten Zeit war ein neuer Trend zu verzeichnen. Die Cyberkriminellen erweiterten ihr Portfolio und nutzten die bestehenden eCrime-Infrastruktur für gezielte Ransomware-Angriffe auf Unternehmen und Organisationen.
TrickBot-Infektionsmethodik
Eines der ältesten Plugins ermöglicht TrickBot die Verwendung von sogenannten Web-Injects. Die Technik befähigt die Malware, die Darstellung von Webseiten dynamisch zu verändern, wenn der Benutzer eines infizierten Rechners diese besucht. „Durch die Analyse vieler TrickBot-Kampagnen haben wir zehntausende unterschiedlicher Konfigurationsdateien identifiziert. Daher wissen wir, auf welche Webseiten es die Betreiber abgesehen haben. Die meisten der URLs gehörten Finanzinstituten“, fügt Boutin hinzu. „Die Aktivitäten von CyberCrime-Netzwerken wie TrickBot zu unterbinden, sind äußerst schwierig. Die Täter verfügen über unterschiedlichste Fallback-Mechanismen und sind zudem mit anderen cyberkriminellen Akteuren gut vernetzt. Schläge gegen derartige Netzwerke durchzuführen, sind daher hochgradig komplex angelegte Operationen.“