TrickBot übernimmt, nach Cops Kneecap Emotet

Cyber Security News

TrickBot steigt im Februar zur Top-Bedrohung auf und überholt Emotet im neuen Index von Check Point.

Eine massive bösartige Spam-Kampagne und die weltweite Zerschlagung von Emotet haben den Trojaner TrickBot an die Spitze der Check Point-Liste der beliebtesten Malware unter Cyberkriminellen im Februar katapultiert.

Im Januar lag TrickBot auf Platz drei der Check Point-Liste und im Jahr 2020 insgesamt auf Platz vier, während die Malware Nr. 1, Emotet, weiter auf dem Vormarsch war. Nachdem Emotet im Januar weltweit von den Strafverfolgungsbehörden zur Strecke gebracht wurde, haben sich die Cyberkriminellen auf TrickBot verlegt, so der Bericht. Beide Stämme werden meist als First-Stage-Loader zum Nachladen weiterer Malware verwendet.

“Selbst wenn eine große Bedrohung beseitigt ist, gibt es viele andere, die weiterhin ein hohes Risiko für Netzwerke auf der ganzen Welt darstellen. Daher müssen Unternehmen sicherstellen, dass sie über robuste Sicherheitssysteme verfügen, um zu verhindern, dass ihre Netzwerke kompromittiert werden, und um die Risiken zu minimieren”, heißt es in dem Check Point-Bericht.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

TrickBot hat jedoch nicht ganz den gleichen Erfolg erreicht wie Emotet vor der Razzia, so Omer Dembinsky von Check Point gegenüber Threatpost.

“Obwohl wir immer noch keine andere Bedrohung sehen, die das Ausmaß von Emotets Aktivitäten erreicht, stellen die Vielfalt und das Volumen möglicher Bedrohungen weiterhin ein extrem hohes Risiko für Netzwerke und Geräte dar, und wir haben keinen Zweifel daran, dass die Lücke, die Emotet hinterlassen hat, gefüllt werden wird”, sagte er.

TrickBot Spam-Kampagne

TrickBot wurde im Februar in einer Spam-Kampagne eingesetzt, die sich an Anwender aus der Versicherungs- und Rechtsbranche richtete und sie dazu bringen sollte, auf ein bösartiges ZIP-Archiv zu klicken, so der Bericht weiter. Die Cyberkriminellen wählten TrickBot wahrscheinlich aufgrund seiner Erfolgsbilanz bei anderen hochkarätigen Kampagnen wie dem Angriff auf Universal Health Services im Jahr 2020, bei dem die Malware gestohlene Daten exfiltrierte und das System mit der Ransomware Ryuk versorgte, als neues Tool aus, so Check Point weiter.

Die Flexibilität ist ein weiterer Aspekt von TrickBot, der ihn zu einer attraktiven Wahl für Cyberkriminelle macht, so Check Point.

TrickBot wurde erstmals 2016 als Banking-Trojaner entwickelt und zeichnet sich durch seine Fähigkeit aus, sich modular weiterzuentwickeln, um seine Fähigkeiten zu verbessern und der Entdeckung zu entgehen. Im vergangenen Dezember tauchte ein neues Modul von TrickBot namens “TrickBoot” auf, das es ihm ermöglichte, die UEFI/BIOS-Firmware der Zielsysteme zu inspizieren.

TrickBot gestört, aber wiederhergestellt

TrickBot wurde auch durch die von Microsoft im letzten Oktober durchgeführten Maßnahmen zur Eindämmung seiner Verbreitung ernsthaft gestört.

“Wir haben TrickBot durch einen Gerichtsbeschluss, den wir erwirkt haben, sowie durch technische Maßnahmen, die wir in Zusammenarbeit mit Telekommunikationsanbietern auf der ganzen Welt durchgeführt haben, gestört”, schrieb Tom Burt, Corporate Vice President, Customer Security & Trust, bei Microsoft, damals. “Wir haben nun die Schlüsselinfrastruktur abgeschnitten, so dass diejenigen, die TrickBot betreiben, nicht mehr in der Lage sind, neue Infektionen zu initiieren oder bereits in Computersysteme eingeschleuste Ransomware zu aktivieren.”

Offensichtlich war TrickBot in der Lage, sich nicht nur zu erholen, sondern mit einer Rache zurückzukehren.

Die zweitbeliebteste Malware unter den Bedrohungsakteuren im Februar war laut Check Point XMRing, die derzeit in einer Kampagne verwendet wird, die einen gefälschten Werbeblocker nutzt, um sowohl den XMRing-Kryptominer als auch Ransomware für einen Double-Whammy-Angriff zu liefern. Insgesamt hat der XMRing Cryptominer/Ransomware-Angriff in den letzten zwei Monaten mehr als 20.000 Anwender infiziert, warnte Kaspersky in einem aktuellen Bericht.

Top-Sicherheitslücken, mobile Bedrohungen

Die am häufigsten ausgenutzte Schwachstelle im Februar war “Web Server Exposed Git Repository Information Disclosure”, von der 48 Prozent der Unternehmen weltweit betroffen waren, so der Bericht von Check Point. An zweiter Stelle stand “HTTP Headers Remote Code Execution (CVE-2020-13756)”, von der 46 Prozent der weltweiten Organisationen betroffen waren, und an dritter Stelle “MVPower DVR Remote Code Execution”, von der 45 Prozent betroffen waren.

[Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/03/11164447/Malware-Feb.-2021-1024x201.png]

Quelle: Check Point

Auf Platz 1 der mobilen Malware-Liste steht Hiddad, gefolgt von der bösartigen App xHelper mit Ad Stuffer und dem Mobile Remote Access Trojaner (MRAT) FurBall.

Neben regelmäßigem Patching und Updates zum Schutz vor bekannten Schwachstellen empfiehlt Check Point die Schulung von Anwendern als bestes Mittel zum Schutz eines Unternehmens vor Cybersecurity-Verstößen.

“Umfassende Schulungen für alle Mitarbeiter sind von entscheidender Bedeutung, damit sie mit den notwendigen Fähigkeiten ausgestattet sind, um die Arten von bösartigen E-Mails zu erkennen, die Trickbot und andere Malware verbreiten”, so Check Point.

Schauen Sie sich unsere kommenden kostenlosen Live-Webinar-Events an – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community: 24. März: Wirtschaftliche Aspekte von 0-Day Disclosures: The Good, Bad and Ugly (Erfahren Sie mehr und registrieren Sie sich!) 21. April: Underground Markets: Eine Tour durch die Schattenwirtschaft (Erfahren Sie mehr und registrieren Sie sich!)

Einige Teile dieses Artikels stammen aus:
threatpost.com