TrickBot-Malware ist ein Bank-Trojaner, der 2016 erstmals in Erscheinung trat und sich seitdem zu einer modularen, mehrstufigen Malware für eine Vielzahl verschiedener illegaler Aktivitäten entwickelt hat, z. B.:

  • Diebstahl von Anmeldeinformationen, Daten und personenbezogenen Informationen
  • Erweiterung von Kontoberechtigungen, um den Zugriff auf das kompromittierte Netzwerk auszudehnen
  • Installation von Backdoors im Netzwerk, um den Fernzugriff zu ermöglichen
  • Download und Installation anderer Malware oder Ransomware, um sekundäre Angriffe durchzuführen, wobei die Ryuk- oder Conti-Malware besonders oft zum Einsatz kommt
  • Deaktivierung von Virenschutztools oder anderen Cybersicherheitsmaßnahmen wie Windows Defender
  • Selbstveränderung, um der Erkennung zu entgehen

Besonders beunruhigend ist die modulare Struktur von TrickBot, die angepasst und weiterentwickelt werden kann, um spezifische Schwachstellen im Netzwerk oder in der Umgebung anzugreifen, die dann bei nachfolgenden Malware- oder Ransomware-Angriffen ausgenutzt werden.

2024-gtr-exec-summary-cover-de

CrowdStrike Global Threat Report 2024: Kurzfassung

Der CrowdStrike Global Threat Report 2024 basiert auf den Beobachtungen des CrowdStrike Counter Adversary Operations Teams und hebt die wichtigsten Themen, Trends und Ereignisse in der Cyber-Bedrohungslandschaft hervor.

Jetzt herunterladen

Wie funktioniert TrickBot-Malware?

Obwohl die TrickBot-Malware für ihre Entwicklungs- und Anpassungsfähigkeit bekannt ist, folgen viele Kampagnen einem einfachen Angriffsmuster:

  1. Die TrickBot-Malware wird über einen infizierten Link oder Anhang im Zielsystem platziert.
  2. Nach dem Download auf das infizierte Gerät wird der Benutzer aufgefordert, Makros zu aktivieren, woraufhin die TrickBot-Binärdatei installiert wird. Im weiteren Verlauf nutzt die Malware verschiedene Vorgehensweisen, um das Netzwerk zu infizieren und Daten zu stehlen.
  3. Um den Boden für künftige Angriffe zu bereiten, können TrickBot-Betreiber auch versuchen, den Virenschutz zu deaktivieren.
  4. Im Rahmen eines sekundären Angriffs kann TrickBot die Malware lateral – in der Regel durch Ausnutzung einer SMB-Schwachstelle (Server Message Block) – im gesamten Netzwerk verteilen.
  5. Eine nachfolgende Attacke (z. B. ein Angriff der Ransomware Ryuk) wird von der TrickBot-Gruppe durchgeführt.
  6. Die Angreifer löschen oder verschlüsseln Backup-Dateien und Duplikate manuell.
  7. Ryuk verschlüsselt alle Systemdaten und initialisiert den Ransomware-Angriffspfad.

Symptome für TrickBot-Malware

Leider bemerkt der Benutzer die Symptome einer TrickBot-Infektion kaum, weil sie heimlich stattfinden soll. Unter Umständen findet ein Netzwerkadministrator Symptome für den Angriff, z. B. eine ungewöhnliche Veränderung im Datenverkehr oder einen Versuch, fremde oder auf einer Negativliste stehende Domänen zu erreichen. Angesichts der großen Ausdehnung und Komplexität der meisten modernen cloudbasierten oder hybriden Arbeitsumgebungen sowie der Raffinesse der TrickBot-Malware ist es ihre Erkennung durch Menschen schwer bis unmöglich.

Unternehmen müssen sich mit einem umfassenden Satz hochentwickelter Cybersicherheitstools schützen, die den Netzwerkverkehr und andere Aktivitäten in Echtzeit überwachen und das IT-Team bei verdächtigem Verhalten oder ungewöhnlichen Aktivitäten warnen, die eingehendere Untersuchungen erfordern.

Geschichte der TrickBot-Malware

TrickBot trat 2016 erstmals als Bankdaten-Stealer in Erscheinung. Es wird angenommen, dass TrickBot mit Dyreza in Verbindung steht, einem anderen hocheffizienten Anmeldedaten-Stealer, der einige Jahre zuvor aktiv war. TrickBot und Dyreza haben viele bemerkenswerte operative und strukturelle Gemeinsamkeiten, z. B. bei der Kommunikation mit Command-and-Control-Servern.

Ein Jahr nach seinem Start wurde TrickBot um ein Wurmmodul erweitert, höchstwahrscheinlich um die erfolgreiche Ransomware-Kampagne WannaCry zu imitieren. Zu diesem Zeitpunkt entwickelten die Schöpfer auch ein Modul zum Abgreifen von Outlook-Anmeldedaten, um damit Millionen, wenn nicht Milliarden von Unternehmenskonten ins Visier zu nehmen. Durch diese Entwicklung sowie durch weitere Teilschritte konnte TrickBot seine Funktionen ausbauen, um Cookies, Browser-Verläufe und andere vertrauliche Informationen zu sammeln. Ende 2018 galt TrickBot als eine der gefährlichsten Cybersicherheitsbedrohungen der Welt.

In den letzten Jahren haben Cybersicherheitsspezialisten deutlich verbesserte Subversionstechniken bei TrickBot festgestellt, die Unternehmen die Erkennung aktiver Angriffe erschweren.

Neben dem Diebstahl finanzieller Informationen oder der Funktion als Plattform für Ransomware-Angriffe kann TrickBot auch für die Behinderung wichtiger sozialer Einrichtungen oder die Unterminierung des demokratischen Prozesses genutzt werden. Während der letzten Präsidentschaftswahlen in den USA gaben die US-Geheimdienste bekannt, dass diese Malware eine Bedrohung für den sicheren und fairen Wahlprozess darstellte.

Aktuelle TrickBot-Neuigkeiten von CrowdStrike

WIZARD SPIDER Update: Resilient, Reactive and Resolute: Lesen

In den letzten Monaten hat WIZARD SPIDER seine Widerstandsfähigkeit und sein kriminelles Engagement demonstriert, indem dieser Akteur mehrere Ransomware-Familien mit verschiedenen Vorgehensweisen eingesetzt hat, bei denen Zielumgebungen mit TrickBot und BazarLoader infiltriert und Versuche abgewehrt werden, die Angriffe zu stoppen.

Big Game Hunting with Ryuk: Another Lucrative Targeted Ransomware: Lesen

WIZARD SPIDER ist eine erfahrene Cybercrime-Gruppe, die die Ransomware Ryuk seit August 2018 einsetzt, um große Unternehmen anzugreifen und anschließend hohe Lösegelder zu fordern. Diese auch als „Big Game Hunting“ oder „Großwildjagd“ bezeichnete Methode kennzeichnet den Übergang von WIZARD SPIDER zu einem neuen Geschäftsmodell. Bei diesem Akteur handelt es sich um eine in Russland ansässige kriminelle Gruppe, die als Betreiber der Banken-Malware TrickBot bekannt ist, die in der Vergangenheit hauptsächlich auf Überweisungsbetrug abzielte.

Wie können Sie sich vor TrickBot-Malware schützen?

Für Unternehmen steht beim Schutz vor TrickBot-Malware die Sensibilisierung an erster Stelle. Da Menschen allein den Netzwerkverkehr und die Aktivitäten nicht ausreichend auf laufende Angriffe überwachen und analysieren können, muss eine umfassende durchgängige Cybersicherheitsstrategie entwickelt werden, die das Netzwerk, die Endgeräte und die Benutzer des Unternehmens durch eine Vielzahl von erweiterten, intelligenten Schutz-, Erkennungs- und Reaktionsfunktionen schützt.

Diese Lösungen müssen wichtige Aspekte des Überwachungs- und Analyseprozesses automatisieren und Echtzeitwarnungen an Administratoren senden, um eine bessere Priorisierung der Aktivitäten zu ermöglichen. Dazu gehören folgende Grundsätze:

  • Überwachung auf Kompromittierungsindikatoren (IOC) und Angriffsindikatoren (IOA)
  • Isolierung infizierter Rechner vom Netzwerk
  • Aktualisieren und Patchen der Netzwerk- und Software-Anwendungen, um Systemschwachstellen zu schließen
  • Alarmierung des Cybersicherheitsteams bei anormalem Verhalten oder ungewöhnlichen Netzwerkaktivitäten

Darüber hinaus muss das Unternehmen mit den folgenden Best Practices für Cybersicherheit notwendige Schritte zur Gewährleistung der allgemeinen Netzwerksicherheit unternehmen, zum Beispiel:

  • Herstellen durchgängiger Transparenz des Netzwerks, einschließlich aller Endgeräte und Benutzer
  • Umsetzen des Least-Privilege-Prinzips, eines Konzepts und Verfahrens zur Gewährleistung der Computersicherheit, bei dem Benutzern lediglich die Zugriffsrechte eingeräumt werden, die sie für die Ausübung ihrer Tätigkeit benötigen
  • Implementierung einer Strategie zur Netzwerksegmentierung, um Segmente im Unternehmensnetzwerk abzugrenzen und zu isolieren und damit die Angriffsfläche zu verkleinern
  • Implementierung von Multifaktor-Authentifizierung (MFA) und anderer Techniken zur Gewährleistung der Identitätssicherheit

Da TrickBot-Angriffe über einen schädlichen Link oder Anhang ausgelöst werden, ist es auch wichtig, Mitarbeiter zu sicheren und verantwortungsvollen Online-Verhaltensweisen zu schulen. Dazu gehören folgende Grundsätze:

  • Bereitstellen von Cybersicherheitsschulungen, um Benutzer über gängige Angriffstechniken zu informieren
  • Regelmäßiges Verteilen von Informationen zu Beispielen für Phishing-E-Mails oder Social-Engineering-Kampagnen, um die Mitarbeiter für diese Techniken zu sensibilisieren
  • Einbeziehen von Bannern oder anderen Mitteilungen, um Mitarbeiter zu warnen, wenn eine E-Mail von einer externen Quelle eintrifft
  • Aufforderung an Benutzer, ihre Kennwörter regelmäßig zu ändern und starke Kennwörter zu verwenden
  • Gewährleisten der Kontrolle über das eigene Gerät und Verhindern der Nutzung durch andere Personen