IT-Sicherheit

Dridex: Malware ist erfolgreich

Banking-Trojaner ist eine der aktivsten Malware-Arten

von 02.06.2021
Zu sehen ist ein gelbes Flatterband mit der Aufschrift „Caution“. Vorsicht ist auch vor der Malwyre Dridex geboten. Bild: Unsplash/Marvin Esteve
Vorsicht vor der Malware Dridex – sie gehört derzeit zu den aktivsten Malware-Arten. Bild: Unsplash/Marvin Esteve

Seit Januar 2021 ist Emotet, die gefährlichste Malware der Welt, Geschichte. Seitdem sind andere Malware-Arten auf dem Vormarsch und kämpfen um die Emotet-Nachfolge. Ganz vorne mit dabei: der Banking-Trojaner Dridex. 
Was ist Dridex? Was hat es mit der Malware Dridex auf sich? Und warum ist Dridex gefährlich? Antworten bei uns.

Zu sehen ist ein gelbes Flatterband mit der Aufschrift „Caution“. Vorsicht ist auch vor der Malwyre Dridex geboten. Bild: Unsplash/Marvin Esteve

Vorsicht vor der Malware Dridex – sie gehört derzeit zu den aktivsten Malware-Arten. Bild: Unsplash/Marvin Esteve

Nach Emotet: Cyberkriminelle schlafen nicht

Die Nachricht, dass Polizeibehörden und Staatsanwaltschaften mehrerer Länder das Emotet-Botnetz zerschlagen konnten, hat am 27. Januar 2021 für ziemlichen Wirbel gesorgt. Der „König der Schadsoftware“ war plötzlich entthront. Aber da Cyberkriminelle bekanntlich nicht schlafen, kam es kurz darauf nicht nur zu einer gefährlichen Emotet-Phishing-Kampagne – es entbrannte auch ein Kampf um die Emotet-Nachfolge. Das Ende ist derzeit noch offen.
Das zumindest zeigt ein Blick auf den jeweiligen Global Threat Index der vergangenen Monate. Check Point Research gibt diesen Bericht monatlich heraus und stellt darin ein Ranking der „Most Wanted Malware“ auf. In Deutschland gibt es auf den Top-3-Positionen noch einen ständigen Wechsel. Qbot, FormBook, TrickBot, IcedID oder Dridex – bisher ist noch nicht abzusehen, ob es einer dieser Malware-Kandidaten dauerhaft schafft, sich durchzusetzen und den vakanten Thron zu erklimmen.
Auffällig ist aber zumindest schon jetzt, dass Dridex sowohl im Januar als auch im März und April einen der Top-Plätze belegte. Aber was ist Dridex genau – und warum ist diese Malware so gefährlich?

Was ist Dridex-Malware?

Bei der Dridex-Malware handelt es sich um einen Banking-Trojaner, der bereits als Ableger der Malware ZeuS vermutlich im Jahr 2014 entstanden und vor allem gegen Windows-Systeme gerichtet ist. Allerdings war die Malware auf der Cybercrime-Bühne anfangs noch eher unauffällig. Durch die systematische Aktualisierung und Weiterentwicklung der Malware und das immer größer aufgespannte Botnetz sollte sich das aber letztlich ändern: Im März 2020 schaffte es Dridex zum ersten Mal in die Top-3-Malware-Liste von Check Point – und konnte dabei sogar Emotet von der Spitze verdrängen.
Das Hauptziel von Dridex liegt darin, sensible Daten zu Bankkonten zu stehlen, allen voran die Zugangsdaten für das Online-Banking. Mit Hilfe dieser Daten können Cyberkriminelle dann illegale Überweisungen auf das eigene Konto tätigen und folglich direkt Profit aus ihrer Attacke ziehen. Kein Wunder also, dass die Hinterleute, die ihre Malware per E-Mail verbreiten, ihre potenziellen Opfer mit zahlreichen Spam-Kampagnen befeuern. Mit Erfolg: Inzwischen soll der durch Dridex verursachte finanzielle Schaden bei mehr als 100 Millionen Dollar liegen.

So funktioniert der Befall mit Dridex

Im Zuge dieser Spam-Kampagnen verbergen die Cyberkriminellen ihre Malware in den an die Spam-E-Mails angehängten Word- oder Excel-Dateien. Nach dem Öffnen einer solchen Datei wird das Opfer meist dazu aufgefordert, die Bearbeitung zu aktivieren und dazu Makrobefehle zu aktivieren. Die Gefahr folgt dann auf dem Fuß: Mit der manuellen Bestätigung lädt das Dokument die Schadsoftware herunter und installiert sie.
Von dem Befall durch Dridex bekommt das Opfer in der Regel nichts mit. Nicht nur die Installation erfolgt sozusagen still und heimlich; auch danach verhält sich die Schadsoftware auf dem infizierten Gerät extrem unauffällig, sodass keine Symptome das Opfer stutzig machen können.
Dadurch kann die Malware ihre Funktion als Keylogger perfekt ausspielen: Sie zeichnet Tastatureingaben auf und leitet Anmeldedaten, Passwörter und andere sensible Daten an einen von den Angreifern kontrollierten Server weiter. Und dadurch haben die kriminellen Hintermänner dann letzten Endes alle Informationen zur Hand, die sie für ihre illegalen Überweisungen benötigen.

Zu sehen ist eine Grafik, die Trickbot, Qbot und Dridex als „most wanted malware“ aufführt. Bild: IT-SERVICE.NETWORK

Im April 2021 waren Trickbot, Qbot und Dridex die „most wanted malware“. Bild: IT-SERVICE.NETWORK

Warum ist die Dridex-Malware so gefährlich?

Die Sicherheitsexperten ziehen den verhältnismäßig plötzlichen Erfolg darauf zurück, dass es sich bei Dridex um eine sehr ausgereifte und dadurch extrem gefährliche Malware handelt. Hier einige Gründe für die große Gefahr, die von ihr ausgeht:

  • Die neuesten Varianten von Dridex sind extrem schwer zu erkennen und können dadurch einer Erkennung durch so manche gängige Viren-Software entgehen.
  • Auf infizierten Geräten arbeitet die Malware so unauffällig, dass sie auch über einen langen Zeitraum hinweg nützliche Informationen abziehen kann. Neben Online-Banking-Dateien können sich auch die Zugangsdaten zu anderen Plattformen, zum Beispiel PayPal oder Amazon, als lukrativ erweisen.
  • Schon seit geraumer Zeit dient Dridex auch als Ransomware-Downloader. Dadurch kann zusätzlich eine Erpresser-Software auf das bereits infizierte Gerät gelangen, sämtliche vorhandene Daten verschlüsseln und daraufhin eine Lösegeld-Forderung stellen kann.
  • Auch Module zur Fernsteuerung kann Dridex inzwischen herunterladen. Cyberkriminelle können dadurch die Kontrolle über das befallene Gerät übernehmen und dies für ihre Zwecke nutzen.

Das bedeutet: Dridex kann nicht nur durch illegale Überweisungen zu finanziellen Verlusten führen, sondern auch durch anschließende Verschlüsselungen zu IT-Ausfällen, zu Lösegeld-Zahlungen und eventuell zu Strafzahlungen aufgrund von Datenschutzverstößen führen.

Maßnahmen vor und nach einem Malware-Befall

Sowohl Privatpersonen als auch Unternehmen sollten aufgrund der drohenden finanziellen Verluste äußerste Vorsicht walten lassen. Aber welche Maßnahmen sollten idealerweise ergriffen werden – sowohl vor als auch nach einem Befall durch die Dridex-Malware?
Im Vorfeld ist die Security Awareness das oberste Gebot. Wenn die Empfänger von E-Mails auf die Anzeichen von Spam-Kampagnen zu achten wissen und die Anhänge von verdächtigen E-Mails gar nicht erst öffnen, ist der Angriffsversuch schon im Kern erstickt. Unternehmen können – und sollten – ihre Angestellten durch spezielle Security-Awareness-Schulungen genau dafür sensibilisieren. Kombiniert werden sollte dieser Ansatz mit der Nutzung einer wirklich effizienten Antivirenschutzlösung.
Besteht bereits ein Verdacht auf einen Befall durch Dridex, gilt es so schnell wie möglich zu handeln. Ein Scan des Systems verschafft Klarheit. Bestätigt sich der Verdacht, ist die Malware schleunigst zu entfernen, damit sie keinen (weiteren) Schaden anrichten kann. Sie wissen nicht, wie das funktioniert?

IT-Experten schotten Unternehmensnetzwerke ab

Hilfe rund um den Schutz vor und die Entfernung von Malware erhalten Unternehmen von externen IT-Dienstleistern – zum Beispiel von den Experten aus dem IT-SERVICE.NETWORK. In unserem Netzwerk von mehr als 400 kompetenten IT-Systemhäusern finden Sie sicherlich auch in der Nähe Ihres Firmenstandorts einen versierten IT-Partner, der die IT-Sicherheit zu seinem Steckenpferd gemacht hat.
Unsere Fachleute können Ihnen nicht nur Virenschutz-Lösungen empfehlen, mit denen sich Unternehmen bestmöglich absichern; sie übernehmen auf Wunsch auch das Anti-Virus-Management und halten Sie mit einem wöchentlichen Statusbericht über die Sicherheit Ihres Unternehmensnetzwerks auf dem Laufenden. Und mit dem Desktop-Management behalten unsere Fachleute die PCs und Laptops Ihrer Angestellten im Blick und können den Befall durch eine Schadsoftware frühzeitig erkennen und direkt Gegenmaßnahmen ergreifen. Und nicht zuletzt: Auch im Bereich der Security Awareness verhelfen wir Ihnen gern zum richtigen Training.
Interesse zu einem oder mehreren dieser Sicherheitsbereiche? Dann zögern Sie nicht und kontaktieren Sie unseren IT-Dienstleister in Ihrer Nähe – wir freuen uns auf Ihre Anfrage!


Weiterführende Links:
Infopoint Security, Infopoint Security, Infopoint Security, Infopoint Security, it-daily, PCrisk, IT-Administrator

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
2 Kommentare

Werner Krause, 10. September 2021 um 10:08

Man sieht ja Emotet ist down. Entwickler von Trickbot verhaftet. Aber es kommen immer neue raus. Wir sehen es so. EMail sollte nur Text enthalten. Anhänge über einen anderen Weg. Das geht.

Antworten

    IT-SERVICE.NETWORK-Team, 24. September 2021 um 11:45

    Guten Tag Herr Krause,
    da haben Sie Recht: Malware wächst wirklich wie Unkraut aus dem Boden. Anhänge über einen anderen Weg zu übermitteln, ist sicherlich keine schlechte Idee, muss aber dann sicherlich unternehmensweit so gehandhabt werden.
    Problematisch könnte es bei externen Rechnungsstellungen werden. Viele Rechnungen werden heutzutage ausschließlich digital als Anhang übermittelt.
    Viele Grüße
    Ihr IT-SERVICE.NETWORK

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

AnyDesk-Hack

Anbieter von Fernwartungssoftware ist Ziel von Cyberattacke

von • 14.02.2024

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vors...

Weiterlesen
IT-Sicherheit

Datenleck bei Trello

15 Millionen Datensätze bei Hackerangriff auf Betreiber Atlassian erbeutet

von • 12.02.2024

Cyberkriminelle konnten durch ein Datenleck bei Trello offenbar Daten von mehr als 15 Millionen Daten abgreifen. In einem Hackerforum im Darknet stehen diese Daten zum Verkauf. Wir berichten, was e...

Weiterlesen
IT-Sicherheit

Have I Been Pwned

Webseite gibt Auskunft über durch Datenlecks geleakte Konto

von • 07.02.2024

Nachrichten über Datenlecks machen immer wieder die Runde. Häufig ist Nutzern dabei gar nicht bewusst, dass auch ihre Daten geleakt worden sein könnten. Die Webseite Have I Been Pwned gibt Gewisshe...

Weiterlesen