Trickbot malware netwerk door Microsoft verstoord

Wat u moet weten

Het Trickbot-botnet

Trickbot heeft sinds eind 2016 meer dan een miljoen computerapparatuur over de hele wereld geïnfecteerd. Hoewel de exacte identiteit van de operators onbekend is, suggereert onderzoek dat ze zowel natiestaten als criminele netwerken dienen voor verschillende doeleinden.

Trickbot is een van de recentere banktrojanen, met veel van de originele kenmerken die zijn geïnspireerd door Dyreza, een andere banktrojan. Naast het richten op een breed scala aan internationale banken via zijn webinjects, kan Trickbot ook stelen van Bitcoin-portefeuilles.

Enkele van de andere mogelijkheden zijn het verzamelen van e-mails en inloggegevens met behulp van de Mimikatz-tool. De auteurs laten ook zien dat ze constant nieuwe functies en ontwikkelingen kunnen gebruiken.

Trojan.TrickBot wordt geleverd in modules die vergezeld gaan van een configuratiebestand. Elke module heeft een specifieke taak, zoals persistentie verkrijgen, doorgeven, inloggegevens stelen, codering, enzovoort. De C & C’s  zijn opgezet op gehackte draadloze routers.

Tijdens het onderzoek van Microsoft naar Trickbot hebben we ongeveer 61.000 voorbeelden van Trickbot-malware geanalyseerd. Wat het zo gevaarlijk maakt, is dat het modulaire mogelijkheden heeft die voortdurend evolueren en slachtoffers infecteren voor de doeleinden van de operators via een “malware-as-a-service” -model. De operators zouden hun klanten toegang kunnen geven tot geïnfecteerde machines en hen een afleveringsmechanisme kunnen bieden voor vele vormen van malware, waaronder ransomware. Naast het infecteren van computers van eindgebruikers, heeft Trickbot ook een aantal “Internet of Things” -apparaten, zoals routers, geïnfecteerd, waardoor het bereik van Trickbot is uitgebreid naar huishoudens en organisaties.

Naast het onderhouden van modulaire mogelijkheden voor een verscheidenheid aan einddoeleinden, hebben de operators bewezen bedreven te zijn in het veranderen van technieken op basis van ontwikkelingen in de samenleving. De spam- en spearphishing-campagnes van Trickbot die worden gebruikt om malware te verspreiden, bevatten onderwerpen als Black Lives Matter en COVID-19, waardoor mensen worden verleid om op kwaadaardige documenten of links te klikken. Op basis van de gegevens die we zien via Microsoft Office 365 Advanced Threat Detection, is Trickbot de meest productieve malwareprocedure met kunstaas met COVID-19-thema.

Microsoft heeft vandaag actie ondernomen nadat de Amerikaanse rechtbank voor het oostelijk district van Virginia haar verzoek om een ​​gerechtelijk bevel om de activiteiten van Trickbot te stoppen, had ingewilligd.

Bron: Microsoft

Tijdens het onderzoek dat tegen Trickbot ten grondslag lag, was Microsoft in staat om operationele details te identificeren, waaronder de infrastructuur die Trickbot gebruikte om te communiceren met en controle over de computers van slachtoffers, de manier waarop geïnfecteerde computers met elkaar kunnen praten, de mechanismen van Trickbot om detectie te omzeilen en pogingen om de werking ervan te verstoren. Toen ze bij Microsoft zagen dat de geïnfecteerde computers verbinding maakten met en instructies kregen van command and control-servers, konden ze de precieze IP-adressen van die servers identificeren. Met dit bewijs gaf de rechtbank toestemming aan Microsoft en hun partners om de IP-adressen uit te schakelen, de inhoud die op de command and control-servers is opgeslagen ontoegankelijk te maken, alle services voor de botnet beheerders op te schorten en elke poging van de Trickbot beheerders om te kopen of extra servers leasen te stoppen.

Door deze actie uit te voeren, heeft Microsoft een internationale groep van industrie- en telecommunicatieproviders gevormd. De Digital Crimes Unit (DCU) van Microsoft leidde de onderzoeksinspanningen, waaronder detectie, analyse, telemetrie en reverse engineering, met aanvullende gegevens en inzichten om hun rechtszaak te versterken vanuit een wereldwijd netwerk van partners, waaronder  FS-ISAC ,  ESET ,  Lumen’s Black Lotus Labs ,  NTT  en  Symantec, een divisie van Broadcom , naast ons  Microsoft Defender team. Verdere maatregelen om slachtoffers te herstellen zullen worden ondersteund door internetproviders (ISP’s) en computer Emergency Readiness Teams (CERT) over de hele wereld.

Bron: Microsoft

Tijdens deze actie vertegenwoordigt ook een nieuwe juridische benadering die de DCU voor het eerst gebruikt. De zaak omvat volgens Microsoft “auteursrechtclaims tegen kwaadwillig gebruik van onze softwarecode door Trickbot.” Deze aanpak is een belangrijke ontwikkeling in de inspanningen die Microsoft doet om de verspreiding van malware te stoppen, waardoor ze civiele maatregelen kunnen nemen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn.

Microsoft en hun partners anticiperen er volledig op dat de beheerders van Trickbot zich zullen inspannen om hun activiteiten nieuw leven in te blazen, we zullen samen met onze partners werken om hun activiteiten te volgen en aanvullende juridische en technische stappen te nemen om ze te stoppen.

Naast de bedreiging voor verkiezingen staat Trickbot erom bekend malware te gebruiken om websites voor internetbankieren te bereiken en geld te stelen van mensen en financiële instellingen. Financiële instellingen, variërend van wereldwijde banken en betalingsverwerkers tot regionale kredietverenigingen, zijn het doelwit van Trickbot.

Het is ook bekend dat Trickbot ook de makers zijn van de Ryuk crypto-ransomware en deze levert en gebruikt bij aanvallen op een breed scala aan openbare en particuliere instellingen. Ransomware kan verwoestende gevolgen hebben. Onlangs heeft het het IT-netwerk van een Duits ziekenhuis lamgelegd, met als gevolg de dood van een vrouw die een spoedbehandeling zocht. Ryuk is een geavanceerde crypto-ransomware omdat het netwerkbestanden identificeert en versleutelt en Windows Systeemherstel uitschakelt om te voorkomen dat mensen kunnen herstellen van de aanval zonder externe back-ups. Ryuk heeft organisaties aangevallen, waaronder gemeentebesturen, staatsrechtbanken, ziekenhuizen, verpleeghuizen, bedrijven en grote universiteiten. Ryuk is bijvoorbeeld toegeschreven aan aanvallen gericht op een aannemer van het ministerie van Defensie, de stad Durham in North Carolina, een IT-provider voor 110 verpleeghuizen,

Type en bron van infectie

Trojan.TrickBot richt zich op het stelen van bankgegevens.

TrickBot verspreidt zich doorgaans via kwaadaardige spamcampagnes. Het kan zich ook lateraal verspreiden met behulp van de EternalBlue-exploit (MS17-010) uitbraak in mei 2017.

Andere verspreidingsmethoden zijn onder meer geïnfecteerde bijlagen en ingesloten URL’s. Trojan.TrickBot wordt ook gezien als een secundaire infectie die door Trojan.Emotet wordt gedropt; dit wordt gedaan door middel van een Word of ander Office document.

 
De malware, ook wel bekend als Geodo en 
Mealybug, werd voor het eerst ontdekt in 2014

Nasleep

Vanwege de manier waarop Trickbot de EternalBlue kwetsbaarheid gebruikt om zich via het netwerk van een bedrijf te verspreiden, zal elke geïnfecteerde machine op het netwerk machines opnieuw infecteren die eerder zijn schoongemaakt wanneer ze weer op het netwerk komen. Daarom moeten IT teams elk geïnfecteerd systeem één voor één isoleren, patchen en herstellen. Dit is een lang en moeizaam proces.

KPN laat merk XS4ALL bestaan, lijkt een zoethoudertje

KPN laat het dochter merk XS4ALL toch voortbestaan. Dat heeft het telecombedrijf vanmiddag bekendgemaakt. Een jaar geleden besloot KPN het merk XS4ALL samen met Telfort en Yes Telecom op te heffen. Het idee was toen om alles onder de naam van KPN verder te laten gaan. Dit stuitte op verzet bij medewerkers en klanten van XS4ALL.

Er werd door een groepje trouwe XS4ALL-abonnees een nieuwe provider opgericht: Freedom Internet. Eind vorig jaar verloor de ondernemingsraad van het dochterbedrijf een rechtszaak tegen KPN. Topman Joost Farwerck van KPN gaf toen al wel aan in gesprek te willen over de toekomst. Daar lijkt het nieuws van vandaag de uitkomst van te zijn.

Door met samenvoegen

Tegelijkertijd gaat KPN wel door met het samenvoegen van de organisaties. Een woordvoerder zegt dat XS4ALL voor bestaande klanten voor onbepaalde tijd in de lucht blijft. Daarnaast kunnen ook nieuwe klanten zich voorlopig nog laten aansluiten bij die provider. Klanten van het merk krijgen wel, op z’n vroegst aan het einde van dit jaar, KPN-techniek geleverd. Vermoedelijk gaat het om zaken als de router.

Daarnaast wil het moederbedrijf, gebruikmakend van de “sterke punten” van de dochteronderneming, met een nieuwe aanbieding komen onder het KPN-merk. Hoe dit eruit gaat zien is nog onbekend, hier moet in de loop van het jaar meer duidelijkheid over komen. Als dit aanbod er is, verdwijnt de mogelijkheid om abonnee te worden bij XS4ALL.

Gemengde reacties

“Ik heb niet de indruk dat dit heel veel gaat opleveren”,

zegt Daan Willems, voorzitter van de ondernemingsraad van XS4ALL in reactie op het nieuws. Willems roept de leiding op niet te kiezen voor een compromis, maar om echt het plan af te blazen. Volgens hem verdwijnen daarnaast op de techniekafdeling nog altijd een aantal banen. Willems zegt dat het plan door de medewerkers niet heel positief is ontvangen.

Een woordvoerder van KPN zegt dat er gemengde reacties zijn op het nieuwe plan. Het actiecomité ‘XS4ALL Moet Blijven‘ laat in een reactie weten geschrokken te zijn van het plan en noemt dit “nog slechter dan het simpelweg direct opheffen van XS4ALL”. Volgens het comité wordt het bedrijf de komende tijd verder uitgekleed:

“Er wordt gedaan alsof XS4ALL voorlopig mag blijven. Achter de schermen worden echter tal van zaken al geïntegreerd, wat verdere stappen betekent in het langzame ontmantelingsproces van de afgelopen jaren.”

Bron NOS

Pin It on Pinterest