Microsoft & Co. übernehmen Kontrolle über das TrickBot-Botnetz

[English]In einer koordinierten Aktion haben Tech-Firmen wie Microsoft, Symantec und weitere die Kontrolle über das TrickBot-Botnetz erlangt. Ziel ist die Deaktivierung dieses Botnetzes.

Hintergrund zum TrickBot-Botnetz

TrickBot war ursprünglich ein Banking-Trojaner, der 2016 erstmals bekannt wurde. Die weiter entwickelte Trickbot-Malware hat seit Ende 2016 weltweit über eine Million Windows-Systeme infiziert. Obwohl die genaue Identität der Betreiber unbekannt ist, legen Untersuchungen nahe, dass sie sowohl Nationalstaaten als auch kriminellen Netzwerken für eine Vielzahl von Zielen dienen. Die Hintermänner betreiben eine ganze Infrastruktur, das TrickBot-Botnetz, um die Malware zu kontrollieren und zu steuern. Die Gruppe wird in Russland vermutet.

Ein Baukasten an Schadfunktionen

Microsofts Sicherheitspezialisten haben im Zuge der Untersuchungen etwa 61.000 Trickbot-Malware-Beispiel analysiert. Was Trickbot so gefährlich macht, ist die Tatsache, dass es über modulare Funktionen verfügt, die ständig weiterentwickelt werden. Diese Module infizieren die Opfer für die Zwecke der Betreiber durch ein "Malware-as-a-Service"-Modell. Die Betreiber des TrickBot-Netzwerks könnten ihren 'Kunden' Zugang zu infizierten Rechnern gewähren und ihnen einen Liefermechanismus für viele Formen von Malware, einschließlich Ransomware, anbieten. Neben der Infizierung von Endbenutzer-Computern hat Trickbot auch eine Reihe von "Internet der Dinge" IoT-Geräten, wie z.B. Router, infiziert, was die Reichweite von Trickbot auf Haushalte und Organisationen ausgedehnt hat.

Die Hintermänner agieren flexibel

Neben der Bereitstellung modularer Fähigkeiten für eine Vielzahl von Einsatzszenarien sind die Betreiber des Botnetzes flexibel und passen sich mit ihren Techniken an gesellschaftliche Entwicklungen an. Die Betreiber von Trickbot reagierten sofort mit Spam- und Spear-Phishing-Kampagnen auf Themen wie Black Lives Matter und COVID-19. In den Kampagnen wurden Nutzer dazu verleitet, auf bösartige Dokumente oder Links zu klicken. Basierend auf den Daten, die Microsoft durch die erweiterte Bedrohungserkennung von Microsoft Office 365 erhält, war Trickbot die produktivste Malware-Operation, die das Thema COVID-19 als Köder verwendete.

Zerschlagung des TrickBot-Botnetzes

Während der Analyse des TrickBot-Botnetzes gelang es Microsoft und seinen Partnern operative Details zu ermitteln. Darunter fallen Informationen zur Infrastruktur, die Trickbot zur Kommunikation mit und Kontrolle über die Computer der Opfer verwendet. Dazu gehören aber auch Kenntnisse der Art und Weise, wie infizierte Computer miteinander kommunizieren. Und die Trickbot-Mechanismen, mit denen sich Trickbot der Entdeckung entzieht und versucht, seinen Betrieb zu stören, wurden ergründet.

Als Microsoft beobachteten, wie sich die infizierten Computer mit Befehls- und Kontroll-Servern verbanden und von diesen Anweisungen erhielten, konnten die genauen IP-Adressen dieser Server ermittelt werden. Mit diesen Beweisen erteilte das Gericht Microsoft und unseren Partnern die Genehmigung, die IP-Adressen zu deaktivieren, die auf den Command-and-Control-Servern gespeicherten Inhalte unzugänglich zu machen, alle Dienste für die Botnetzbetreiber auszusetzen und alle Bemühungen der Trickbot-Betreiber, zusätzliche Server zu kaufen oder zu leasen, zu blockieren.

In diesem Artikel gab Microsoft die Aktion zur Zerschlagung des TrickBot-Botnetzes bekannt. Microsoft hat mit seinen Partnern dann Maßnahmen zur Übernahme und Deaktivierung des TrickBot-Botnetzes ergriffen, nachdem das US-Bezirksgericht für den östlichen Bezirk von Virginia den beantragten Beschluss zur Zerschlagung des Trickbot-Botnetzes stattgegeben hat.

Gemeinsame Aktion zur Zerschlagung

Um diese Aktion durchzuführen, bildete Microsoft eine internationale Gruppe von Industrie- und Telekommunikationsanbietern. Beteiligt war ein globales Netzwerk von Partnern wie FS-ISAC, ESET, Lumen's Black Lotus Labs, NTT und Symantec, einer Abteilung von Broadcom, zusätzlich zum Microsoft Defender-Team. Microsofts Digital Crimes Unit (DCU) leitete die Ermittlungen, sowie die Erkennung, Analyse, Telemetrie und das Reverse Engineering.

Diese Aktion stellt auch einen neuen rechtlichen Ansatz dar, den Microsofts DCU zum ersten Mal anwendet. Im Fall wurden vor Gericht auch urheberrechtliche Ansprüche gegen die böswillige Verwendung von Microsofts Software-Codes durch Trickbot geltend gemacht, um den Gerichtsbeschluss zu erwirken. Dieser Ansatz ist eine wichtige Entwicklung in den Bemühungen Microsofts und andere Sicherheitsunternehmen, die Verbreitung von Malware zu stoppen. Laut Microsoft ermöglicht der jetzt ergangene Beschluss auch, Zivilklagen zu erheben, um Kunden auf der ganzen Welt zu schützen.

Microsoft geht davon aus, dass die Betreiber von Trickbot Anstrengungen unternehmen werden, um den Betrieb des Botnetzes wieder zu beleben. Das Konsortium will aber die Aktivitäten der TrickBot-Gang überwachen und zusätzliche rechtliche und technische Schritte unternehmen, um die Verbreitung von Malware zu stoppen.

Golem hat in diesem Artikel die Geschichte, basierend auf dem Bericht der Washington Post, etwas anders beschrieben. Dieser Erzählung nach führte das US-Militär seit Ende September 2020 eine Operation gegen die TrickBot-Schadsoftware und deren Botnetzwerk aus. Mit mehreren Angriffen sollen dem Netzwerk die Bots entrissen und die Datenbank auf dessen Kontrollserver mit nicht-existierenden Bots gefüllt worden sein. Die Hintermänner der Gang, die in Russland vermutet werden, sollen im Umfeld der US-Präsidentschaftswahlen 'beschäftigt' werden.

Ähnliche Artikel:
Sicherheit: Hacks und Ransomware, die neue Bedrohung
EmoCrash: Impfschutz vor Emotet-Infektionen hielt 6 Monate
Sicherheit & Hacks: Tupperware, WHO, Industrie
Conti Ransomware-Gang will VW-Gruppe gehackt haben