Bei Trickbot handelt es sich um einen immer wieder weiterentwickelten Banking-Trojaner. Seit dem Jahr 2016 ist die gefährliche Malware in Umlauf und greift Unternehmen an.
Wir verraten, warum Trickbot so gefährlich ist, wie Sie Ihre Daten bestmöglich schützen können und warum Trickbot jetzt eingestellt worden sein könnte.
Trickbot: Banking-Trojaner lernt dazu
Reine Bankdaten abgreifen ist das eine, zusätzlich Login-Daten inklusive Passwörter weiterer Anwendungen ausspähen und auf E-Mails zugreifen, das andere. Der Banking-Trojaner Trickbot kann das alles. Schon seit einiger Zeit ist eine Variante unterwegs, die es neben Bankdaten auch auf die Passwörter und Benutzernamen zahlreicher weiterer Programme abgesehen hat. Die neueste Variante kann außerdem auf E-Mails zugreifen und sich per „Network Lateral Movement“ im gesamten Netzwerk bewegen.
Bedeutet im Klartext: Ist der Rechner infiziert, kann es ganz schnell sehr unangenehm und vor allem sehr teuer werden. Denn: Nicht nur mit erbeuteten Zugangsdaten können die Angreifer erhebliche Schäden verursachen; sie können auch Daten stehlen, zum Kauf anbieten und für weitere Attacken nutzen.
Und dann ist da noch eine weitere große Gefahr: Seit neuestem scheint Trickbot auch in der Lage zu sein, Emotet, dem König der Schadsoftware, Einlass in infizierte Systeme zu gewähren – dazu später mehr. Dadurch wird die Angelegenheit nun noch brisanter. All das macht Trickbot im Oktober 2021 zum wiederholten Mal zur Most Wanted Malware in Deutschland.
Bewegte Historie: Trickbot-Malware
Traditionell kommt der Trojaner in Gestalt einer augenscheinlich normalen Word- oder Excel-Datei. Die E-Mail dazu ist häufig nicht sofort als gefährlich zu erkennen. Teilweise in perfektem Deutsch formuliert, suggeriert sie, im Anhang eine Rechnung mitzusenden, oder sie tarnt sich gar als Nachricht von realen Geschäftspartnern.
Die Datei im Anhang selbst gibt dann vor, mit einer älteren Office-Version erstellt worden zu sein und fordert den Nutzer dazu auf, die Funktion „Enable Content“ zu aktivieren. Und genau das ist der Dreh- und Angelpunkt: Bestätigt der Nutzer die Aktivierung, werden entsprechende Makros ausgeführt, die den Trojaner im Hintergrund herunterladen und installieren.
Das Problem: Trickbot ist in der Lage, nach kurzer Zeit eigenständig ein weiteres Modul nachzuladen, das dann vollständige Login-Daten abgreifen und an den Angreifer-Server senden. Der Name dieses Moduls lautet pwgrab. Zusätzlich zu Benutzerdaten und Passwörtern liest pwgrab beispielsweise auch Autofill-Informationen aus dem Browser sowie dessen Historie und gesetzte Cookies. Das gilt übrigens sowohl für Microsoft Edge, Google Chrome als auch Firefox.
Trickbot, Emotet & Ryuk im Kombi-Paket
Problematisch ist auch, dass die Trickbot-Malware in Kombination mit Emotet und Ryuk bereits zahlreiche Unternehmen angegriffen hat. In der Vergangenheit diente dabei Emotet als klassischer Trojaner, der den beiden anderen Tür und Tor öffnete; Trickbot spähte dann die Kontodaten aus und um den Schaden zu maximieren, verschlüsselte Ryuk schließlich die Festplatte, löschte gefundene Datensicherungen und stellte eine horrende Lösegeld-Forderung.
Tatsächlich harmloser kamen aber noch andere Trickbot-Angriffe daher. In einigen Fällen wurden nämlich auch „nur“ zusätzlich E-Mail-Adressen abgegriffen, die dann Opfer mehrere Spam-Wellen geworden sind. Klingt weniger bedrohlich, ist es aber dennoch. Daher gab es auch ein kollektives Aufatmen, als sich die Nachricht über einen Schlag gegen die Emotet-Hacker verbreitete.
Schlag gegen Trickbot: nur von kurzer Dauer
Dazu kam es nämlich im Oktober 2020. Damals konnte eine von Microsoft durchgeführte Aktion die Infrastruktur hinter dem Trickbot-Malware-Botnet stoppen. Allerdings zeigte sich nur wenige Monate später, nämlich im Februar 2021, dass Trickbot wohl nur eine Pause eingelegt hatte: Sicherheitsforscher hatten zu diesem Zeitpunkt in Nordamerika eine neue Spam-Kampagne entdeckt, bei der Trickbot zum Einsatz kam.
Die Zeichen deuteten daraufhin, dass die Hintermänner dabei waren, eine neue Bot-Infrastruktur aufzubauen. Dazu schreiben die Sicherheitsforscher: „Obwohl die Maßnahmen von Microsoft und seinen Partnern lobenswert waren und die Aktivität von Trickbot auf ein Rinnsal gesunken ist, scheinen die Bedrohungsakteure motiviert genug zu sein, um ihre Operationen wieder aufzunehmen und von der aktuellen Bedrohungslage zu profitieren.“
Schlimm genug, dass Trickbot wieder auf der Bildfläche erschienen ist. Gleichzeitig wirft die Rückkehr aber auch die Frage auf, wie es bei anderer Malware weitergehen mag, die eigentlich als gestoppt gilt – zum Beispiel Emotet. Aber dazu später mehr.
Aufstieg zur Most Wanted Malware
Seitdem Trickbot wieder aktiv ist, waren die Hinterleute extrem umtriebig. Das zeigt sich daran, dass die Sicherheitsexperten von Checkpoint Security in ihrem monatlichen Global Threat Index nun schon mehrere Male Trickbot zur am weitesten verbreiteten Malware in Deutschland erklärt hat. Zuletzt war das auch wieder im Oktober 2021 der Fall.
Laut Checkpoint Security waren früher vor allem Bankkunden in Australien und Großbritannien im Visier von Trickbot, dann kamen Indien, Singapur und Malaysia hinzu. Die schlechte Nachricht: In den vergangenen Monaten scheinen auch Angriffsziele in Deutschland in der Gunst der Trickbot-Bande zu stehen.
Und wie es schon früher üblich war, dient Trickbot auch jetzt wieder der Verbreitung von Ransomware. Unter anderem verlassen sich Ryuk und REvil in den Anfangsstadien der Infektion zunächst auf Malware wie Trickbot. Und jetzt kommt auch noch Emotet ins Spiel.
Türöffner für Emotet-Trojaner
Wie erwähnt, hat Emotet früher unter anderem Trickbot die Tür zu Unternehmensnetzwerkern geöffnet. Das war allerdings, bevor der Emotet-Trojaner gestoppt werden konnte. Das war Ende Januar 2021 der Fall. In einer koordinierten Aktion konnten Ermittler die Infrastruktur von Emotet übernehmen und zerschlagen. Allerdings war die Freude darüber auch hier nur von kurzer Dauer.
Seit Mitte November 2021 ist Emotet nämlich wieder zurück – und hat das vor allem Trickbot zu verdanken. Denn: Scheinbar wird die bestehende Trickbot-Infrastruktur derzeit dazu genutzt, das zerschlagene Emotet-Botnetz wieder neu aufzubauen. Das bedeutet, dass sich der Spieß wohl umgekehrt hat, und Trickbot nun Emotet die Tore öffnet. Vielleicht waren die Trickbot-Akteure auch gerade deshalb in den vergangenen Wochen und Monaten so aktiv, um die Rückkehr von Emotet vorzubereiten.
2022: Trickbot-Operation eingestellt?
Seit Ende 2021/Anfang 2022 scheint es nun wieder ruhiger um Trickbot geworden zu sein. Der Sicherheitsexperte Vitali Kremez hat per Twitter seine Vermutung bekannt gegeben, dass die Hackergruppe die gesamte Trickbot-Infrastruktur abgeschaltet hat. Und er nennt dafür gegenüber dem Portal BleepingComputer auch einen Grund: Die Hacker sollen von der Conti-Ransomware-Gruppe übernommen worden sein.
Weitere Spekulationen gehen in dieselbe Richtung: So geht das Newsportal INTEL471 davon aus, dass sich die Trickbot-Hacker lukrativeren Verdienstmöglichkeiten zuwenden würden – und zwar indem sie nun an den Malware-Familien BazarBackdoor und Anchor arbeiten. Diese können sich nach Einschätzung der Sicherheitsexperten besser tarnen, werden seltener entdeckt und sollen dabei helfen, die Conti-Ransomware effizienter zu verbreiten.
Eine gute Nachricht wäre die Einstellung der Trickbot-Operation also trotzdem nicht, denn die Gefahr würde sich – sollten sich die Vermutungen bewahrheiten – nur verlagern. Hinzu kommt, dass auch Emotet erst von der Bildfläche verschwunden und dann wieder aufgetaucht ist. Auszuschließen ist so etwas auch im Falle von Trickbot nicht.
Schutz vor Trickbot & Co. – unsere Checkliste
Fragt sich an dieser Stelle: Gibt es irgendetwas, was Unternehmen tun können, um sich vor einer Infektion durch Trickbot (und in Folge dessen möglicherweise auch durch Emotet) zu schützen? Die Antwort: Ja, gibt es! Wir haben einige Tipps zusammengestellt, mit denen sich Unternehmen präventiv vor Angriffen durch Trickbot und ähnliche Trojaner absichern können. Einige Punkte sorgen zusätzlich für maximale Schadensbegrenzung, sollte Ihr Unternehmen bereits Opfer eines Angriffs geworden sein. Hier unsere Checkliste:
- Halten Sie alle Arbeitsplätze inklusive aller installierten Programme und Anwendungen sicherheitstechnisch immer auf dem neuesten Stand – Stichwort: Patch-Management.
- Lassen Sie eine professionelle Antivirus-Software installieren.
- Lassen Sie regelmäßig vollständige Datensicherungen durchführen.
- Sensibilisieren Sie Ihre Mitarbeiter für das Thema – vor allem Kollegen aus den Bereichen Empfang, Buchhaltung/Controlling und Personalwesen.
- Weisen Sie Ihre Mitarbeiter an, keinesfalls die Zustimmung zur Aktivierung von Makros zu erteilen, wenn sie dazu aufgefordert werden. Fehlt diese nämlich, sind Trickbot und Co. komplett machtlos.
- Verbieten Sie die Autofill-Funktion bei browserbasierten Logins.
- Setzen Sie Passwort-Manager ein und schulen Sie Ihre Mitarbeiter entsprechend in der Anwendung.
Halten sich Unternehmen an diese Tipps, ist schon viel gewonnen. Wichtig ist grundsätzlich: Die IT-Sicherheit muss immer ganzheitlich gedacht und umgesetzt werden.
IT-Fachleute setzen IT-Sicherheit um
Sie fühlen sich durch die Tipps und den daraus resultierenden Aufgaben überfordert? Dann haben wir zum Schluss noch eine gute Nachricht für Sie: Es gibt Spezialisten, die Unternehmen dabei unterstützen, die genannten Sicherheitsmaßnahmen umzusetzen. Sie finden solche Spezialisten natürlich auch bei uns im IT-SERVICE.NETWORK. Über die Dienstleistersuche entdecken Sie schnell einen geeigneten IT-Dienstleister in Ihrer Nähe – und dieser kann Ihnen dann noch viele weitere hilfreiche Tipps zum Schutz vor Trickbot geben.
Auf Wunsch sichern unsere IT-Fachleute auch Ihre gesamte IT-Landschaft so gut wie nur möglich vor Eindringlingen wie Trickbot ab. Mit IT-Services wie dem IT-Sicherheitscheck und dem Penetrationstest decken unsere Experten dazu die Schwachstellen in Ihrem Netzwerk auf und entwickeln darauf aufbauend eine umfassende IT-Sicherheitsstrategie. Sie möchten dazu mehr erfahren? Dann melden Sie sich!
Weiterführende Links:
Trend Micro, Fortinet, Infosecurity Magazine, Computerworld, IAVCworld, BleepingComputer, INTEL471, WinFuture
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung