Microsoft und Partner schalten Trickbot Botnet aus

Das Trickbot Botnet hat über eine Million Rechner infiziert. Jetzt ist es gelungen, die Malware durch einen Gerichtsbeschluss zu stoppen. Zu den Unternehmen und Organisationen, die sich an der Beseitigung beteiligten, gehörten das Microsoft Defender-Team, FS-ISAC, ESET, Black Lotus Labs von Lumen, NTT und Symantec sowie die Cyber-Sicherheitsabteilung von Broadcom.

Vor der Übernahme wurden von allen Teilnehmern Untersuchungen der Backend-Infrastruktur von TrickBot mit Servern und Malware-Modulen durchgeführt. Microsoft, ESET, Symantec und Partner verbrachten Monate damit, mehr als 125.000 TrickBot-Malware-Samples zu sammeln, ihren Inhalt zu analysieren und Informationen über das Innenleben der Malware zu extrahieren und zuzuordnen, einschließlich aller Server, die das Botnet zur Kontrolle infizierter Computer und zur Bereitstellung zusätzlicher Module verwendete.

Mit diesen Informationen in der Hand ging Microsoft diesen Monat vor Gericht zum United States District Court for the Eastern District of Virginia und bat die Richter, ihm die Kontrolle über die TrickBot-Server zu gewähren. „Mit diesen Beweisen erteilte das Gericht Microsoft und unseren Partnern die Genehmigung, die IP-Adressen zu deaktivieren, die auf den Command-and-Control-Servern gespeicherten Inhalte unzugänglich zu machen, alle Dienste für die Botnet-Betreiber auszusetzen und alle Bemühungen der TrickBot-Betreiber, zusätzliche Server zu kaufen oder zu leasen, zu blockieren“, sagte Microsoft.

Gemeinsam mit Internet Service Providern (ISPs) und Computer Emergency Readiness Teams (CERTs) auf der ganzen Welt werden nun Anstrengungen unternommen, um alle infizierten Nutzer zu benachrichtigen.

Nach Angaben der Mitglieder der Koalition hatte das TrickBot-Botnet zum Zeitpunkt seiner Abschaltung mehr als eine Million Computer infiziert. Einige dieser infizierten Systeme enthielten auch Internet of Things (IoT)-Geräte. Das TrickBot-Botnet war eines der größten Botnets der Gegenwart.

Die Malware begann 2016 zunächst als Banking-Trojaner, bevor sie sich in einen Mehrzweck-Malware-Downloader verwandelte, der Systeme infizierte und anderen kriminellen Gruppen Zugang zu einem Geschäftsmodell verschaffte, das als MaaS (Malware-as-a-Service) bekannt ist.

Zusammen mit Emotet ist das TrickBot-Botnet heute eine der aktivsten MaaS-Plattformen, die oft Lösegeld-Banden wie Ryuk und Conti den Zugang zu infizierten Computern vermietet.

Die TrickBot-Bande setzte jedoch auch Banking-Trojaner und Infostealer-Trojaner ein und ermöglichte BEC-Betrügern, Wirtschaftsspionage-Gangs und sogar nationalstaatlichen Akteuren Zugang zu Unternehmensnetzwerken. Dies ist nach Necurs im März das zweite große Malware-Botnet, das in diesem Jahr ausgeschaltet wurde.

Der Erfolg dieser Abschaltung bleibt jedoch abzuwarten. Viele andere Botnets haben in der Vergangenheit ähnliche Takedowns überlebt. Das beste Beispiel hierfür ist das Kelihos-Botnet, das drei Takedown-Versuche überlebt hat, von Grund auf neu aufgebaut wurde und weiterhin funktioniert.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago