Operation TrickBot: Gemeinschaftsaktion legt globales eCrime-Netzwerk lahm. ESET Forscher unterstützten den erfolgreichen Schlag gegen ein großes TrickBot-Botnetz.
Die IT-Sicherheitsindustrie schlägt zurück: ESET-Forscher beteiligten sich an einer weltweiten Operation gegen das TrickBot-Botnetz, das seit 2016 über eine Million Computer infiziert hat. Zusammen mit Microsoft, Black Lotus Labs Threat Research von Lumen, NTT und weiteren Unternehmen hat die Offensive das global agierende eCrime-Netzwerk TrickBot massiv unter Druck gesetzt. Dank der gemeinsamen Aktion ist es gelungen, einen wichtigen Schlag gegen das Rückgrat des Cyber-Crime-Netzwerks durchzuführen und deren Command-and-Control-Server lahmzulegen. ESET trug mit detaillierten technischen Analysen, statistischen Informationen, Domänen-Namen und IPs der Command- und Control-Server zum erfolgreichen Verlauf bei. Das weltgrößte Botnet ist vor allem für den Diebstahl von Zugangsdaten und die Verbreitung von Banking-Trojanern bekannt. Neueste Erkenntnisse zeigten zudem, dass die Täter ihr eCrime-Portfolio weiter ausgebaut haben und TrickBot als Übertragungsmechanismus für umfassendere Angriffe und weitreichende Schadcode-Infiltrationen nutzen. Diese umfassten u.a. auch Ransomware-Angriffe auf Unternehmen und Organisationen.
eCrime-Netzwerk aktiv seit 2016
ESET Forscher verfolgen die Aktivitäten des weltumspannenden eCrime-Netzwerkes TrickBot seit seiner ersten Entdeckung Ende 2016. Allein in diesem hat ESET mit Hilfe seiner Botnet-Tracker-Plattform mehr als 125.000 neue TrickBot-Computerschädlinge analysiert. Zusätzlich konnten mehr als 40.000 Konfigurationsdateien heruntergeladen und entschlüsselt werden, die in den verschiedenen TrickBot-Modulen zum Einsatz kamen.
„Wir beobachten das TrickBot-Botnetz seit Jahren und entdeckten immer wieder dessen Weiterentwicklungen. Das macht es zu einem der größten und langlebigsten Netze von gekaperten Rechnern“, erklärt Jean-Ian Boutin, Leiter der ESET Research-Abteilung. „Zudem ist TrickBot eine der am weitesten verbreiteten Banking-Malware-Familien und stellt somit eine ernstzunehmende Bedrohung für alle Internetnutzer dar.“
Trickbot und Emotet als Duo
Der Schadcode wurde jahrelang sehr erfolgreich auf unterschiedlichste Weise verbreitet. Seit kurzem beobachteten die ESET Sicherheitsexperten eine neue Entwicklung: TrickBot wurde vorzugsweise auf Systemen installiert, die bereits mit dem bekannten Schadcode Emotet infiziert und schon Teil dessen Botnets waren. In der Vergangenheit setzten die Betreiber die TrickBot-Malware primär als Banking-Trojaner ein. Ziel war der Diebstahl von Zugangsdaten von Online-Bankkonten und die Durchführung von betrügerischen Überweisungen. In der jüngsten Zeit war ein neuer Trend zu verzeichnen. Die Cyberkriminellen erweiterten ihr Portfolio und nutzten die bestehenden eCrime-Infrastruktur für gezielte Ransomware-Angriffe auf Unternehmen und Organisationen.
TrickBot-Infektionsmethodik
Eines der ältesten Plugins ermöglicht TrickBot die Verwendung von sogenannten Web-Injects. Die Technik befähigt die Malware, die Darstellung von Webseiten dynamisch zu verändern, wenn der Benutzer eines infizierten Rechners diese besucht. „Durch die Analyse vieler TrickBot-Kampagnen haben wir zehntausende unterschiedlicher Konfigurationsdateien identifiziert. Daher wissen wir, auf welche Webseiten es die Betreiber abgesehen haben. Die meisten der URLs gehörten Finanzinstituten“, fügt Boutin hinzu. „Die Aktivitäten des TrickBot-Botnetz zu unterbinden, sind äußerst schwierig. Die Täter verfügen über unterschiedlichste Fallback-Mechanismen und sind zudem mit anderen cyberkriminellen Akteuren gut vernetzt. Schläge gegen derartige Netzwerke durchzuführen, sind daher hochgradig komplex angelegte Operationen.“
Mehr dazu bei WeLiveSecurity auf ESET.com
Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.