Das Trickbot Botnet hat über eine Million Rechner infiziert. Jetzt ist es gelungen, die Malware durch einen Gerichtsbeschluss zu stoppen. Zu den Unternehmen und Organisationen, die sich an der Beseitigung beteiligten, gehörten das Microsoft Defender-Team, FS-ISAC, ESET, Black Lotus Labs von Lumen, NTT und Symantec sowie die Cyber-Sicherheitsabteilung von Broadcom.
Vor der Übernahme wurden von allen Teilnehmern Untersuchungen der Backend-Infrastruktur von TrickBot mit Servern und Malware-Modulen durchgeführt. Microsoft, ESET, Symantec und Partner verbrachten Monate damit, mehr als 125.000 TrickBot-Malware-Samples zu sammeln, ihren Inhalt zu analysieren und Informationen über das Innenleben der Malware zu extrahieren und zuzuordnen, einschließlich aller Server, die das Botnet zur Kontrolle infizierter Computer und zur Bereitstellung zusätzlicher Module verwendete.
Mit diesen Informationen in der Hand ging Microsoft diesen Monat vor Gericht zum United States District Court for the Eastern District of Virginia und bat die Richter, ihm die Kontrolle über die TrickBot-Server zu gewähren. „Mit diesen Beweisen erteilte das Gericht Microsoft und unseren Partnern die Genehmigung, die IP-Adressen zu deaktivieren, die auf den Command-and-Control-Servern gespeicherten Inhalte unzugänglich zu machen, alle Dienste für die Botnet-Betreiber auszusetzen und alle Bemühungen der TrickBot-Betreiber, zusätzliche Server zu kaufen oder zu leasen, zu blockieren“, sagte Microsoft.
Gemeinsam mit Internet Service Providern (ISPs) und Computer Emergency Readiness Teams (CERTs) auf der ganzen Welt werden nun Anstrengungen unternommen, um alle infizierten Nutzer zu benachrichtigen.
Nach Angaben der Mitglieder der Koalition hatte das TrickBot-Botnet zum Zeitpunkt seiner Abschaltung mehr als eine Million Computer infiziert. Einige dieser infizierten Systeme enthielten auch Internet of Things (IoT)-Geräte. Das TrickBot-Botnet war eines der größten Botnets der Gegenwart.
Die Malware begann 2016 zunächst als Banking-Trojaner, bevor sie sich in einen Mehrzweck-Malware-Downloader verwandelte, der Systeme infizierte und anderen kriminellen Gruppen Zugang zu einem Geschäftsmodell verschaffte, das als MaaS (Malware-as-a-Service) bekannt ist.
Zusammen mit Emotet ist das TrickBot-Botnet heute eine der aktivsten MaaS-Plattformen, die oft Lösegeld-Banden wie Ryuk und Conti den Zugang zu infizierten Computern vermietet.
Die TrickBot-Bande setzte jedoch auch Banking-Trojaner und Infostealer-Trojaner ein und ermöglichte BEC-Betrügern, Wirtschaftsspionage-Gangs und sogar nationalstaatlichen Akteuren Zugang zu Unternehmensnetzwerken. Dies ist nach Necurs im März das zweite große Malware-Botnet, das in diesem Jahr ausgeschaltet wurde.
Der Erfolg dieser Abschaltung bleibt jedoch abzuwarten. Viele andere Botnets haben in der Vergangenheit ähnliche Takedowns überlebt. Das beste Beispiel hierfür ist das Kelihos-Botnet, das drei Takedown-Versuche überlebt hat, von Grund auf neu aufgebaut wurde und weiterhin funktioniert.
Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Neueste Kommentare
Noch keine Kommentare zu Microsoft und Partner schalten Trickbot Botnet aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.