Trickbot malware netwerk door Microsoft verstoord

Wat u moet weten

Het Trickbot-botnet

Trickbot heeft sinds eind 2016 meer dan een miljoen computerapparatuur over de hele wereld geïnfecteerd. Hoewel de exacte identiteit van de operators onbekend is, suggereert onderzoek dat ze zowel natiestaten als criminele netwerken dienen voor verschillende doeleinden.

Trickbot is een van de recentere banktrojanen, met veel van de originele kenmerken die zijn geïnspireerd door Dyreza, een andere banktrojan. Naast het richten op een breed scala aan internationale banken via zijn webinjects, kan Trickbot ook stelen van Bitcoin-portefeuilles.

Enkele van de andere mogelijkheden zijn het verzamelen van e-mails en inloggegevens met behulp van de Mimikatz-tool. De auteurs laten ook zien dat ze constant nieuwe functies en ontwikkelingen kunnen gebruiken.

Trojan.TrickBot wordt geleverd in modules die vergezeld gaan van een configuratiebestand. Elke module heeft een specifieke taak, zoals persistentie verkrijgen, doorgeven, inloggegevens stelen, codering, enzovoort. De C & C’s  zijn opgezet op gehackte draadloze routers.

Tijdens het onderzoek van Microsoft naar Trickbot hebben we ongeveer 61.000 voorbeelden van Trickbot-malware geanalyseerd. Wat het zo gevaarlijk maakt, is dat het modulaire mogelijkheden heeft die voortdurend evolueren en slachtoffers infecteren voor de doeleinden van de operators via een “malware-as-a-service” -model. De operators zouden hun klanten toegang kunnen geven tot geïnfecteerde machines en hen een afleveringsmechanisme kunnen bieden voor vele vormen van malware, waaronder ransomware. Naast het infecteren van computers van eindgebruikers, heeft Trickbot ook een aantal “Internet of Things” -apparaten, zoals routers, geïnfecteerd, waardoor het bereik van Trickbot is uitgebreid naar huishoudens en organisaties.

Naast het onderhouden van modulaire mogelijkheden voor een verscheidenheid aan einddoeleinden, hebben de operators bewezen bedreven te zijn in het veranderen van technieken op basis van ontwikkelingen in de samenleving. De spam- en spearphishing-campagnes van Trickbot die worden gebruikt om malware te verspreiden, bevatten onderwerpen als Black Lives Matter en COVID-19, waardoor mensen worden verleid om op kwaadaardige documenten of links te klikken. Op basis van de gegevens die we zien via Microsoft Office 365 Advanced Threat Detection, is Trickbot de meest productieve malwareprocedure met kunstaas met COVID-19-thema.

Microsoft heeft vandaag actie ondernomen nadat de Amerikaanse rechtbank voor het oostelijk district van Virginia haar verzoek om een ​​gerechtelijk bevel om de activiteiten van Trickbot te stoppen, had ingewilligd.

Bron: Microsoft

Tijdens het onderzoek dat tegen Trickbot ten grondslag lag, was Microsoft in staat om operationele details te identificeren, waaronder de infrastructuur die Trickbot gebruikte om te communiceren met en controle over de computers van slachtoffers, de manier waarop geïnfecteerde computers met elkaar kunnen praten, de mechanismen van Trickbot om detectie te omzeilen en pogingen om de werking ervan te verstoren. Toen ze bij Microsoft zagen dat de geïnfecteerde computers verbinding maakten met en instructies kregen van command and control-servers, konden ze de precieze IP-adressen van die servers identificeren. Met dit bewijs gaf de rechtbank toestemming aan Microsoft en hun partners om de IP-adressen uit te schakelen, de inhoud die op de command and control-servers is opgeslagen ontoegankelijk te maken, alle services voor de botnet beheerders op te schorten en elke poging van de Trickbot beheerders om te kopen of extra servers leasen te stoppen.

Door deze actie uit te voeren, heeft Microsoft een internationale groep van industrie- en telecommunicatieproviders gevormd. De Digital Crimes Unit (DCU) van Microsoft leidde de onderzoeksinspanningen, waaronder detectie, analyse, telemetrie en reverse engineering, met aanvullende gegevens en inzichten om hun rechtszaak te versterken vanuit een wereldwijd netwerk van partners, waaronder  FS-ISAC ,  ESET ,  Lumen’s Black Lotus Labs ,  NTT  en  Symantec, een divisie van Broadcom , naast ons  Microsoft Defender team. Verdere maatregelen om slachtoffers te herstellen zullen worden ondersteund door internetproviders (ISP’s) en computer Emergency Readiness Teams (CERT) over de hele wereld.

Bron: Microsoft

Tijdens deze actie vertegenwoordigt ook een nieuwe juridische benadering die de DCU voor het eerst gebruikt. De zaak omvat volgens Microsoft “auteursrechtclaims tegen kwaadwillig gebruik van onze softwarecode door Trickbot.” Deze aanpak is een belangrijke ontwikkeling in de inspanningen die Microsoft doet om de verspreiding van malware te stoppen, waardoor ze civiele maatregelen kunnen nemen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn.

Microsoft en hun partners anticiperen er volledig op dat de beheerders van Trickbot zich zullen inspannen om hun activiteiten nieuw leven in te blazen, we zullen samen met onze partners werken om hun activiteiten te volgen en aanvullende juridische en technische stappen te nemen om ze te stoppen.

Naast de bedreiging voor verkiezingen staat Trickbot erom bekend malware te gebruiken om websites voor internetbankieren te bereiken en geld te stelen van mensen en financiële instellingen. Financiële instellingen, variërend van wereldwijde banken en betalingsverwerkers tot regionale kredietverenigingen, zijn het doelwit van Trickbot.

Het is ook bekend dat Trickbot ook de makers zijn van de Ryuk crypto-ransomware en deze levert en gebruikt bij aanvallen op een breed scala aan openbare en particuliere instellingen. Ransomware kan verwoestende gevolgen hebben. Onlangs heeft het het IT-netwerk van een Duits ziekenhuis lamgelegd, met als gevolg de dood van een vrouw die een spoedbehandeling zocht. Ryuk is een geavanceerde crypto-ransomware omdat het netwerkbestanden identificeert en versleutelt en Windows Systeemherstel uitschakelt om te voorkomen dat mensen kunnen herstellen van de aanval zonder externe back-ups. Ryuk heeft organisaties aangevallen, waaronder gemeentebesturen, staatsrechtbanken, ziekenhuizen, verpleeghuizen, bedrijven en grote universiteiten. Ryuk is bijvoorbeeld toegeschreven aan aanvallen gericht op een aannemer van het ministerie van Defensie, de stad Durham in North Carolina, een IT-provider voor 110 verpleeghuizen,

Type en bron van infectie

Trojan.TrickBot richt zich op het stelen van bankgegevens.

TrickBot verspreidt zich doorgaans via kwaadaardige spamcampagnes. Het kan zich ook lateraal verspreiden met behulp van de EternalBlue-exploit (MS17-010) uitbraak in mei 2017.

Andere verspreidingsmethoden zijn onder meer geïnfecteerde bijlagen en ingesloten URL’s. Trojan.TrickBot wordt ook gezien als een secundaire infectie die door Trojan.Emotet wordt gedropt; dit wordt gedaan door middel van een Word of ander Office document.

 
De malware, ook wel bekend als Geodo en 
Mealybug, werd voor het eerst ontdekt in 2014

Nasleep

Vanwege de manier waarop Trickbot de EternalBlue kwetsbaarheid gebruikt om zich via het netwerk van een bedrijf te verspreiden, zal elke geïnfecteerde machine op het netwerk machines opnieuw infecteren die eerder zijn schoongemaakt wanneer ze weer op het netwerk komen. Daarom moeten IT teams elk geïnfecteerd systeem één voor één isoleren, patchen en herstellen. Dit is een lang en moeizaam proces.

Phishing, wat kunt u ertegen doen?

Phishing / Smishing

Bij phishing of smishing vissen fraudeurs via valse e-mails of SMS-berichten onder andere naar vertrouwelijke identiteitsgegevens en uw beveiligingscodes voor internetbankieren, mobiel bankieren en betaalkaarten. Daarmee kunnen ze misbruik maken van uw identiteit, bankrekening en betaalinstrumenten. De fraudeurs hengelen dan bijvoorbeeld naar een kopie van uw paspoort, rijbewijs of bankpasje; naar uw wachtwoord en speciale nummercodes voor internetbankieren of naar uw pincodes voor mobiel bankieren, uw bankpas of uw creditkaart.

Phishing/Smishing is vaak gericht op een grote groep mensen tegelijk maar kan ook specifiek op één persoon of een kleine groep gericht zijn (spear phishing). Bij spear phishing gebruiken fraudeurs gerichte en persoonlijke informatie over hun doelwitten, zoals naam en adres, beroep, werkgever, rekeningnummer of kenteken.

Loader Loading…
EAD Logo Taking too long?

Reload Reload document
| Open Open in new tab

Download

10 stappen om uw Windows 10 pc Veilig en schoon te houden

1. met gezond verstand

Een veilige pc begint en eindigt bij de bewuste computergebruiker. Hoeveel sloten het systeem ook heeft, door uw handelen kunt u allerlei narigheid binnenhalen. Denk aan deze handige tips om uw pc schoon en veilig te houden:

  • Reageer niet op mails van onbekende afzenders. Klik niet zomaar op links en bijlagen als u niet honderd procent zeker weet wat het is en van wie het komt.
  • Open geen bijlage van een bekende afzender wanneer u het niet echt vertrouwt. Het e-mail adres kan overgenomen zijn door kwaad willende.
  • Wees achterdochtig wanneer bedrijven en mensen vragen naar persoonlijke informatie en financiële gegevens.
  • Gebruik moeilijke en verschillende wachtwoorden.
  • Bekijk webwinkels met een kritische blik. Zijn de prijzen extreem laag? Ziet de website er amateuristisch uit? Komt u er veel spelfouten tegen? Wordt er geen echt bezoek- of postadres vermeld? Staat er een KvK-nummer vermeld? Dit zijn allemaal punten waaruit u kunt afleiden of de webwinkel in kwestie te vertrouwen is. Meer informatie vindt u op Consuwijzer.nl.
  • Websites die vertrouwelijke informatie van u verlangen, zoals de site voor internetbankieren van uw bank, sturen u altijd naar een beveiligde webpagina. U herkent een beveiligde webpagina doordat het adres begint met ‘https://‘ in plaats van met ‘http://‘.
  • Klik nooit op rare meldingen. Boodschappen als ‘Spyware gevonden, uw computer dient nu te worden gescand’, dienen juist om u om de tuin te leiden. Klikt u op zo’n boodschap, dan kan de computer worden besmet!
  • Vertrouwt u een bezochte website of een melding niet, scan de computer dan op virussen.

2. Windows Update

Zorg voor een bijgewerkte computer; dat is belangrijk voor de veiligheid. Windows 10 haalt alle updates automatisch binnen via het onderdeel ‘Windows Update‘. Gebruikers hebben hier een kleine invloed op. Zo kunnen ze het installeren van updates korte tijd uitstellen.Zo komt u bij de instellingen:

  • Klik op de Startknop > Instellingen (pictogram van het tandwiel).
  • Klik op Bijwerken en beveiliging.

Het gedeelte ‘Windows Update‘ opent. Hier staat onder meer de mogelijkheid om updates zeven dagen te onderbreken en om de gebruikstijden op te geven, onder Geavanceerde Opties. Dit zijn de uren dat de pc normaal gesproken in gebruik is. In die periode start Windows de pc niet automatisch opnieuw op voor het bijwerken van de updates. Doorgaans krijgt u dan bij het afsluiten van Windows te zien of het bijwerken en opnieuw starten nodig is.

3. Windows Firewall

Met behulp van een firewall kunt u zich beveiligen tegen kwaadwillende lieden die via internet op de computer willen inbreken, zoals hackers. Windows 10 heeft een firewall in huis. Deze staat standaard aan.

Windows Firewall is onderdeel van Defender

4. Windows Defender

Windows 10 heeft een eigen virusscanner aan boord. Windows Defender beschermt u prima tegen virussen en ander gespuis. Het mooie is dat Defender standaard aanstaat en u er zelf geen omkijken naar heeft. Het Beveiligingscentrum van Windows regelt alles. Zo komt u bij dit centrum:

  • Klik op de Startknop > Instellingen.
  • Klik op Bijwerken en beveiliging.
  • Klik op Windows-beveiliging.
  • U ziet een overzicht van onderdelen met een rode of groene markering erbij. Groen betekent dat alles in orde is, bij rood moet u zelf even iets ondernemen.
  • Klik op Windows-beveiliging openen.
  • Nu ziet u dezelfde onderdelen als hiervoor, maar dan met een eventuele melding als u iets moet doen, zoals een onderdeel inschakelen. Volg de instructies.
Hier wordt gebruik gemaakt van een antivirus programma van een andere dan Windows Defender

U hoeft zelf geen andere virusscanner aan te schaffen of te installeren. Mocht u een lopend abonnement hebben op een betaalde antivirus scanner en bijvoorbeeld een nieuwe pc hebben, dan kunt u ervoor kiezen uw eigen antivirus programma toch te gebruiken. Windows Defender wordt dan uitgeschakeld.

5. Spyware ontdekken en verwijderen

Spyware is een verzamelnaam voor programma’s en bestanden (zoals sommige volg cookies) die gegevens over uw computer- en internetgebruik door kunnen sturen naar derden. Soms installeert u dit zonder dat u het in de gaten hebt. Het zit nogal eens in gratis software van minder betrouwbare makers. Niet altijd is spyware gevaarlijk, maar u wilt natuurlijk nooit software op de computer waar u niet om hebt gevraagd. U kunt het programma Malwarebytes Een Anti-Malware programma te gebruiken tegen spyware. Dit programma doorzoekt uw pc en kan de betreffende bestanden verwijderen.

6. omgaan met spam

Het grootste deel van al het e-mailverkeer bestaat uit spam (ongewenste e-mail). De kans is dan ook groot dat u met spam te maken hebt. En een handige Nee/Nee-sticker voor op uw digitale brievenbus bestaat niet.

Veel providers hebben (gratis of betaalde spamfilter. Die houdt ongewenste e-mails tegen en laat alleen echte berichten door. Veel e-maildiensten zoals Gmail en Outlook.com hebben een eigen spamfilter. U hoeft deze niet in te stellen, het is standaard actief.

7. nep mails en phishing

Spam is doorgaans alleen maar irritant, nep e-mails en phishing mails kunnen gewoonweg gevaarlijk zijn. In een phishing mail hengelt naar crimineel naar uw persoonlijke informatie zoals uw creditcard- of bankgegevens, de afzender van de nep mail verzamelt e-mailadressen. Mocht u een dergelijke mail ontvangen, verwijder deze dan van uw systeem. Nep mails kunnen lastig te herkennen zijn.

8. software bijwerken

Programma’s en apps op de pc krijgen periodiek een update. Oude versies van software kunnen een gevaar zijn voor de computer doordat ze niet genoeg beveiligd zijn. Programma’s die u ooit hebt geïnstalleerd maar nooit gebruikt, kunt u daarom beter verwijderen.

  • Klik op de Startknop > Instellingen.
  • Klik op Apps
  • Een lijst met alle aanwezige programma’s opent. Klik op het programma dat u wilt verwijderen.
  • Klik op Verwijderen.
  • Klik nogmaals op Verwijderen.

De programma’s die u wel gebruikt, kunt u op verschillende manieren bijwerken naar de nieuwste versie. Soms kennen ze een automatische updatefunctie, die u kunt inschakelen. Of er wordt automatisch om de zoveel tijd gevraagd of u de nieuwste versie wilt installeren. Kies dan voor Ja. Ten slotte kunt u kijken op de website van de maker, om daar de laatste versie van het programma te downloaden.

9. back-up instellen

Maak regelmatig reservekopieën van zaken die belangrijk voor u zijn. U denkt er niet graag aan, maar de computer kan crashen of onbruikbaar worden door een virus of Gijzel software. Daardoor kunt u al uw e-mails, foto’s en belangrijke documenten kwijtraken. In het artikel ‘Back-up maken: de mogelijkheden’ leest u welke opties u hebt.

10. draadloos netwerk beveiligen

Het beveiligen van het wifi-netwerk doet u met een eigen wachtwoord, dat zo lang en complex mogelijk is, zodat derden geen toegang hebben tot uw netwerk. Als u niet handig bent met het instellen van uw router, volg dan de gebruiksaanwijzing die u bij uw router krijgt; doe dit stap-voor-stap en nauwkeurig, of laat een expert het netwerk installeren en beveiligen. Uw provider kan hierbij hulp bieden.

Pin It on Pinterest