Ein Update zur Bekämpfung von Trickbot

Vor einer Woche haben wir Maßnahmen zur Bekämpfung des Botnets Trickbot ergriffen. Dabei handelt es sich um ein Netzwerk von Servern, Computern und vernetzten Geräten (Botnet“), die von Kriminellen ohne Einverständnis ihrer Besitzer*innen übernommen werden. Das  weltweit verzweigte Netzwerk wird anschließend für kriminelle Aktivitäten missbraucht, zum Beispiel für die Verbreitung sogenannter Ransomware („Erpressersoftware“), welche in der Lage ist, Computer Systeme zu sperren. Unser Eingriff erfolgte mit dem Ziel, die Infrastruktur von Trickbot lahmzulegen. So sind die Betreiber*innen des Botnet nicht mehr in der Lage, neue Infektionen zu verursachen oder Ransomware auf schon infizierten Systemen zu aktivieren. Das ist besonders für die bevorstehenden Präsidentschaftswahlen in den USA am 3. November wichtig, bei denen Ransomware-Attacken als die größte Bedrohung identifiziert wurden.

94 Prozent der operativen Infrastruktur von Trickbot sind lahmgelegt

Wir haben mit Partnern auf der ganzen Welt intensiv daran gearbeitet, die operative Infrastruktur von Trickbot lahmzulegen. Die Abschaltungen schließen auch die Command and Control Server (C&C-Server) ein, die zum Zeitpunkt des Beginns unserer Aktion in Betrieb waren, sowie die neue Infrastruktur, die Trickbot künftig nutzen wollte.

Wir haben bei unseren forensischen Untersuchungen initial weltweit 69 Server identifiziert, die für den Betrieb von Trickbot von zentraler Bedeutung waren. Genau 62 dieser Server haben wir deaktivieren können. Bei den sieben verbleibenden Servern handelt es sich nicht um herkömmliche C&C-Server, sondern um IoT-Geräte (Internet of Things), die von Trickbot infiziert und als Teil seiner Server Infrastruktur genutzt wurden. Wir sind aktuell dabei, auch diese Geräte abzuschalten. Wie erwartet, haben die Trickbot Betreiber*innen in der Zwischenzeit versucht, die von uns deaktivierten Server und Geräte zu ersetzen. Wir haben diese Aktivitäten verfolgt und dabei 59 neue Server identifiziert, die zur Infrastruktur von Trickbot hinzugefügt werden sollten, um die heruntergenommene Infrastruktur zu ersetzen. Bis auf einen konnten wir auch alle dieser neuen Server deaktivieren. Damit haben wir seit Beginn unserer Operation und bis zum 18. Oktober dieses Jahres weltweit 120 der 128 Server der Trickbot-Infrastruktur außer Betrieb genommen.

Es ist aber auch klar, dass sich diese Zahlen weiterhin verändern werden. Denn wir gehen davon aus, dass die bereits ergriffenen Maßnahmen die verbleibende Infrastruktur weiterhin beeinträchtigen werden und wir werden zudem in Zusammenarbeit mit unseren Partnern bis zu den Wahlen weitere Maßnahmen ergreifen. Dies ist eine sehr anspruchsvolle Arbeit, bei der es nicht nur einen Weg zum Erfolg gibt. Aber wir sind mit dem, was wir erreicht haben, bereits sehr zufrieden und optimistisch über das, was wir noch erreichen werden.

Gemeinsam mit unseren Partnern verfolgen wir einen konsequenten und komplexen Ansatz zur Bekämpfung von Trickbot. Die einzigartige Architektur des Botnetzes sowie die Kreativität und Hartnäckigkeit der Kriminellen, die es betreiben, machen dies  aus unserer Sicht dringend notwendig.

Nach dem ersten Gerichtsbeschluss, den wir gegen Trickbot erwirkt haben, sind wir erneut vor Gericht gezogen und haben weitere Beschlüsse zur Herunternahme der neu aktivierten Infrastruktur erwirkt. Bis zum Wahltag am 3. November 2020 werden wir das fortsetzen. Darüber hinaus haben unsere Partner und die Hosting Provider, die maßgeblich am Erfolg des Kampfes gegen Trickbot beteiligt sind, weitere Informationen zur Verfügung gestellt, mittels derer weitere Befehls- und Kontrollserver entdeckt werden könnten. Während wir diese neuen Server weiterhin abschalten, arbeiten unsere Partner auch an einer Säuberung und Wiederherstellung der kompromittierten IoT-Geräte, insbesondere von Routern, die von den Trickbot-Betreiber*innen als nicht-traditionelle C&C-Server-Infrastruktur verwendet werden. Speziell diese Router sind eine große Herausforderung für Internet Service Provider (ISPs), da sie gleichzeitig die Geräte bereinigen und den legalen Datenverkehr gewährleisten müssen. Schließlich arbeiten wir mit ISPs und anderen Partnern zusammen, um auch Geräte in Privathaushalten und Unternehmen zu reinigen, die möglicherweise infiziert sind.

Trickbot und die Präsidentschaftswahlen in den USA

Bei unserer aktuellen Arbeit geht es auch darum, den Betrieb von Trickbot besonders zur Hochzeit der Präsidentschaftswahlen in den USA zu unterbrechen. Und wir sind erfolgreich damit: Nach dem Abschalten der Server Infrastruktur eines Botnetzes ist das Einrichten neuer Server sehr viel schwieriger als vorher. Die Kriminellen brauchen neue Server dafür, um mit den infizierten Geräten des Botnets zu kommunizieren und Befehle zu verschicken. Das braucht Zeit. Währenddessen identifizieren wir aber weitere Trickbot-Server, machen die Provider ausfindig entscheiden über das richtige rechtliche Vorgehen und lassen diese Server in weniger als drei Stunden vollständig deaktivieren. Unsere globale Koordination ermöglicht es Providern, schnell auf unsere Meldungen zu reagieren, im schnellsten Fall hat der von uns benachrichtigte Provider dafür sogar nicht einmal sechs Minuten gebraucht. Mit unseren Aktivitäten haben wir es geschafft, dass die Betreiber*innen des Trickbot ihre ganze Energie im Moment auf das Einrichten neuer Infrastrukturen verwenden und daher keine Zeit für operative Aktionen und Angriffe haben.

Dabei zeigt sich durchaus aber auch die Kreativität und Flexibilität der Betreiber*innen des Botnetzes: So haben wir beispielsweise Versuche registriert, ein eigentlich konkurrierendes Syndikat für die Workloads von Trickbot einzuspannen. Das deutet darauf hin, dass die Trickbot-Betreiber*innen angesichts der wiederholten Angriffe auf ihre Infrastruktur versuchen, neue Wege für ihre kriminellen Aktivitäten zu finden. Wir sind uns sicher, dass die Betreiber*innen von Trickbot auch mit diesen Aktionen nicht zur früheren Leistungsfähigkeit zurückfinden werden. Aber die Aktivitäten mahnen uns alle, wachsam für die Bedrohungen im Cyberspace zu sein – und zu bleiben, insbesondere gilt dies für diejenigen, die in Sicherheits- und Wahlprozessen beteiligt sind.

Deshalb bieten wir dafür folgende Hilfestellungen an:

  • Der Microsoft AccountGuard ist ein kostenloser Sicherheitsdienst zum Schutz politischer Institutionen und Organisationen. Diese spezifisch gefährdeten Organisationen aus dem politischen Umfeld können sich darüber gezielt vor Internetkriminalität im Kontext ihrer Arbeit schützen.
  • Microsoft 365 for Campaigns ist ein Angebot für den Schutz der Online-Kommunikation im Rahmen der Wahlkampagnen, speziell für E-Mails und Dokumente.
  • Und die Election Security Advisors stellt Wahlkampf- und Kampagnenteams Kapazitäten des Detection and Response Team (DART) von Microsoft zur Verfügung.

Gemeinsam mit unseren Partnern haben wir gute Grundlagen geschaffen, um Trickbot auch in den kommenden Wochen wirksam weiter zu bekämpfen. Unsere Digital Crimes Unit (DCU) hat Jahre damit verbracht, die Infrastruktur von Trickbot zu untersuchen, zu dokumentieren und zu kategorisieren, um herauszufinden, welche Command-and-Controls herkömmliche Server sind und welche IoT Geräte.  Wir wissen nun genug, um unsere Abwehraktivitäten gezielt auf die C&C-Server zu konzentrieren und damit die Kommandostruktur des Netzes zu zerschlagen. Noch wichtiger ist jedoch, dass unser Netzwerk von globalen Partnern die Aktivitäten von Trickbot überwacht und Informationen rund um die Uhr miteinander austauscht. Mitglieder unserer Digital Crimes Unit auf der ganzen Welt sind in direktem Kontakt mit lokalen Internet Service Providern und Telekommunikationsunternehmen.

Dennoch gehen wir davon aus, dass  die Betreiber*innen von Trickbot weiter versuchen werden, operativ zu bleiben und Schaden anzurichten. Wir werden sie daher auch zukünftig zusammen mit unseren Partnern engmaschig überwachen und bekämpfen. Und wir ermutigen andere Organisationen und Unternehmen, sich unseren Maßnahmen und Aktivitäten anzuschließen – nicht nur bis zu den Wahlen, sondern auch darüber hinaus.

 


Tom Burt
Corporate Vice President, Customer Security & Trust

Tom Burt

Tags: , , , , ,

Weitere Infos zu diesem Thema

13. Oktober 2020
Neue Maßnahme zur Bekämpfung von Ransomware vor den Wahlen in den USA

Trickbot: Wir haben Maßnahmen ergriffen, um eines der berüchtigsten Botnetze der Welt unschädlich zu machen. In unserem Blogbeitrag erfahrt ihr, wie Microsoft dem in Partnerschaft mit Telekommunikationsanbietern auf der ganzen Welt ein Ende setzen konnte und inwiefern Finanzdienstleistungsinstitute, Regierungsbehörden, Gesundheitseinrichtungen, Unternehmen und Universitäten davon jetzt profitieren.

7. Oktober 2020
Gewusst wie: Sechs Tipps für einen besseren Schutz eurer Geräte

Besonders in Zeiten von mobiler Arbeit ist es wichtig, für ausreichend Schutz auf Geräten wie Laptop, Smartphone, Tablet und Co. zu sorgen. In dieser Folge erfahrt ihr, wie ihr euch und eure Daten effektiv vor den Blicken Unbefugter schützen könnt.

30. September 2020
Gewusst wie: Mit Updates in Sicherheit

Warum sind regelmäßige Updates überhaupt wichtig? Was ist ein Patch Day? Die Antworten auf diese Fragen geben wir euch im zweiten Teil unserer Serie „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“.