Dridex: Malware ist erfolgreich

Banking-Trojaner ist eine der aktivsten Malware-Arten

Von in IT-Sicherheit
02
Jun
'21

Seit Januar 2021 ist Emotet, die gefährlichste Malware der Welt, Geschichte. Seitdem sind andere Malware-Arten auf dem Vormarsch und kämpfen um die Emotet-Nachfolge. Ganz vorne mit dabei: der Banking-Trojaner Dridex. 

Was ist Dridex? Was hat es mit der Malware Dridex auf sich? Und warum ist Dridex gefährlich? Antworten bei uns.

Zu sehen ist ein gelbes Flatterband mit der Aufschrift „Caution“. Vorsicht ist auch vor der Malwyre Dridex geboten. Bild: Unsplash/Marvin Esteve

Vorsicht vor der Malware Dridex – sie gehört derzeit zu den aktivsten Malware-Arten. Bild: Unsplash/Marvin Esteve

Nach Emotet: Cyberkriminelle schlafen nicht

Die Nachricht, dass Polizeibehörden und Staatsanwaltschaften mehrerer Länder das Emotet-Botnetz zerschlagen konnten, hat am 27. Januar 2021 für ziemlichen Wirbel gesorgt. Der „König der Schadsoftware“ war plötzlich entthront. Aber da Cyberkriminelle bekanntlich nicht schlafen, kam es kurz darauf nicht nur zu einer gefährlichen Emotet-Phishing-Kampagne – es entbrannte auch ein Kampf um die Emotet-Nachfolge. Das Ende ist derzeit noch offen.

Das zumindest zeigt ein Blick auf den jeweiligen Global Threat Index der vergangenen Monate. Check Point Research gibt diesen Bericht monatlich heraus und stellt darin ein Ranking der „Most Wanted Malware“ auf. In Deutschland gibt es auf den Top-3-Positionen noch einen ständigen Wechsel. Qbot, FormBook, TrickBot, IcedID oder Dridex – bisher ist noch nicht abzusehen, ob es einer dieser Malware-Kandidaten dauerhaft schafft, sich durchzusetzen und den vakanten Thron zu erklimmen.

Auffällig ist aber zumindest schon jetzt, dass Dridex sowohl im Januar als auch im März und April einen der Top-Plätze belegte. Aber was ist Dridex genau – und warum ist diese Malware so gefährlich?

Was ist Dridex-Malware?

Bei der Dridex-Malware handelt es sich um einen Banking-Trojaner, der bereits als Ableger der Malware ZeuS vermutlich im Jahr 2014 entstanden und vor allem gegen Windows-Systeme gerichtet ist. Allerdings war die Malware auf der Cybercrime-Bühne anfangs noch eher unauffällig. Durch die systematische Aktualisierung und Weiterentwicklung der Malware und das immer größer aufgespannte Botnetz sollte sich das aber letztlich ändern: Im März 2020 schaffte es Dridex zum ersten Mal in die Top-3-Malware-Liste von Check Point – und konnte dabei sogar Emotet von der Spitze verdrängen.

Das Hauptziel von Dridex liegt darin, sensible Daten zu Bankkonten zu stehlen, allen voran die Zugangsdaten für das Online-Banking. Mit Hilfe dieser Daten können Cyberkriminelle dann illegale Überweisungen auf das eigene Konto tätigen und folglich direkt Profit aus ihrer Attacke ziehen. Kein Wunder also, dass die Hinterleute, die ihre Malware per E-Mail verbreiten, ihre potenziellen Opfer mit zahlreichen Spam-Kampagnen befeuern. Mit Erfolg: Inzwischen soll der durch Dridex verursachte finanzielle Schaden bei mehr als 100 Millionen Dollar liegen.

So funktioniert der Befall mit Dridex

Im Zuge dieser Spam-Kampagnen verbergen die Cyberkriminellen ihre Malware in den an die Spam-E-Mails angehängten Word- oder Excel-Dateien. Nach dem Öffnen einer solchen Datei wird das Opfer meist dazu aufgefordert, die Bearbeitung zu aktivieren und dazu Makrobefehle zu aktivieren. Die Gefahr folgt dann auf dem Fuß: Mit der manuellen Bestätigung lädt das Dokument die Schadsoftware herunter und installiert sie.

Von dem Befall durch Dridex bekommt das Opfer in der Regel nichts mit. Nicht nur die Installation erfolgt sozusagen still und heimlich; auch danach verhält sich die Schadsoftware auf dem infizierten Gerät extrem unauffällig, sodass keine Symptome das Opfer stutzig machen können.

Dadurch kann die Malware ihre Funktion als Keylogger perfekt ausspielen: Sie zeichnet Tastatureingaben auf und leitet Anmeldedaten, Passwörter und andere sensible Daten an einen von den Angreifern kontrollierten Server weiter. Und dadurch haben die kriminellen Hintermänner dann letzten Endes alle Informationen zur Hand, die sie für ihre illegalen Überweisungen benötigen.

Zu sehen ist eine Grafik, die Trickbot, Qbot und Dridex als „most wanted malware“ aufführt. Bild: IT-SERVICE.NETWORK

Im April 2021 waren Trickbot, Qbot und Dridex die „most wanted malware“. Bild: IT-SERVICE.NETWORK

Warum ist die Dridex-Malware so gefährlich?

Die Sicherheitsexperten ziehen den verhältnismäßig plötzlichen Erfolg darauf zurück, dass es sich bei Dridex um eine sehr ausgereifte und dadurch extrem gefährliche Malware handelt. Hier einige Gründe für die große Gefahr, die von ihr ausgeht:

  • Die neuesten Varianten von Dridex sind extrem schwer zu erkennen und können dadurch einer Erkennung durch so manche gängige Viren-Software entgehen.
  • Auf infizierten Geräten arbeitet die Malware so unauffällig, dass sie auch über einen langen Zeitraum hinweg nützliche Informationen abziehen kann. Neben Online-Banking-Dateien können sich auch die Zugangsdaten zu anderen Plattformen, zum Beispiel PayPal oder Amazon, als lukrativ erweisen.
  • Schon seit geraumer Zeit dient Dridex auch als Ransomware-Downloader. Dadurch kann zusätzlich eine Erpresser-Software auf das bereits infizierte Gerät gelangen, sämtliche vorhandene Daten verschlüsseln und daraufhin eine Lösegeld-Forderung stellen kann.
  • Auch Module zur Fernsteuerung kann Dridex inzwischen herunterladen. Cyberkriminelle können dadurch die Kontrolle über das befallene Gerät übernehmen und dies für ihre Zwecke nutzen.

Das bedeutet: Dridex kann nicht nur durch illegale Überweisungen zu finanziellen Verlusten führen, sondern auch durch anschließende Verschlüsselungen zu IT-Ausfällen, zu Lösegeld-Zahlungen und eventuell zu Strafzahlungen aufgrund von Datenschutzverstößen führen.

Maßnahmen vor und nach einem Malware-Befall

Sowohl Privatpersonen als auch Unternehmen sollten aufgrund der drohenden finanziellen Verluste äußerste Vorsicht walten lassen. Aber welche Maßnahmen sollten idealerweise ergriffen werden – sowohl vor als auch nach einem Befall durch die Dridex-Malware?

Im Vorfeld ist die Security Awareness das oberste Gebot. Wenn die Empfänger von E-Mails auf die Anzeichen von Spam-Kampagnen zu achten wissen und die Anhänge von verdächtigen E-Mails gar nicht erst öffnen, ist der Angriffsversuch schon im Kern erstickt. Unternehmen können – und sollten – ihre Angestellten durch spezielle Security-Awareness-Schulungen genau dafür sensibilisieren. Kombiniert werden sollte dieser Ansatz mit der Nutzung einer wirklich effizienten Antivirenschutzlösung.

Besteht bereits ein Verdacht auf einen Befall durch Dridex, gilt es so schnell wie möglich zu handeln. Ein Scan des Systems verschafft Klarheit. Bestätigt sich der Verdacht, ist die Malware schleunigst zu entfernen, damit sie keinen (weiteren) Schaden anrichten kann. Sie wissen nicht, wie das funktioniert?

IT-Experten schotten Unternehmensnetzwerke ab

Hilfe rund um den Schutz vor und die Entfernung von Malware erhalten Unternehmen von externen IT-Dienstleistern – zum Beispiel von den Experten aus dem IT-SERVICE.NETWORK. In unserem Netzwerk von mehr als 400 kompetenten IT-Systemhäusern finden Sie sicherlich auch in der Nähe Ihres Firmenstandorts einen versierten IT-Partner, der die IT-Sicherheit zu seinem Steckenpferd gemacht hat.

Unsere Fachleute können Ihnen nicht nur Virenschutz-Lösungen empfehlen, mit denen sich Unternehmen bestmöglich absichern; sie übernehmen auf Wunsch auch das Anti-Virus-Management und halten Sie mit einem wöchentlichen Statusbericht über die Sicherheit Ihres Unternehmensnetzwerks auf dem Laufenden. Und mit dem Desktop-Management behalten unsere Fachleute die PCs und Laptops Ihrer Angestellten im Blick und können den Befall durch eine Schadsoftware frühzeitig erkennen und direkt Gegenmaßnahmen ergreifen. Und nicht zuletzt: Auch im Bereich der Security Awareness verhelfen wir Ihnen gern zum richtigen Training.

Interesse zu einem oder mehreren dieser Sicherheitsbereiche? Dann zögern Sie nicht und kontaktieren Sie unseren IT-Dienstleister in Ihrer Nähe – wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
Infopoint Security, Infopoint Security, Infopoint Security, Infopoint Security, it-daily, PCrisk, IT-Administrator

Janina Kröger

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich. Neue IT-Trends? Wichtige Business-News? Die studierte Germanistin und ausgebildete Redakteurin behält nicht nur das Geschehen auf dem IT-Markt im Blick, sondern versteht es zudem, das IT-Wissen des IT-SERVICE.NETWORK verständlich aufzubereiten.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.