Trickbot Banking-Trojaner

Bei Trickbot handelt es sich um einen Banking-Trojaner, der seit Beginn immer wieder weiterentwickelt wurde. Seit dem Jahr 2016 ist die gefährliche Malware in Umlauf und greift gezielt Unternehmen sowie Privatpersonen an.

Und auch die neueste Variante des Trojaners hat es in sich. Wir verraten, warum Trickbot so gefährlich ist und wie Sie sich und Ihre Daten bestmöglich schützen können.

Trickbot – der Banking-Trojaner, der dazulernt

Reine Bankdaten abgreifen ist das eine, zusätzlich Login-Daten inklusive Passwörter weiterer Anwendungen ausspähen, das andere. Die aktuellste Version von Trickbot kann beides. Wie Sicherheits-Experten von Trend Micro und Fortinet berichten, ist derzeit eine Variante unterwegs, die es neben Bankdaten auch auf die Passwörter und Benutzernamen zahlreicher weiterer Programme abgesehen hat. Bedeutet im Klartext: ist der Rechner infiziert, kann es ganz schnell sehr unangenehm und vor allem sehr teuer werden.

Trickbot Malware erkennen

Traditionell kommt der Trojaner in Gestalt einer augenscheinlich normalen Word- oder Excel-Datei. Die E-Mail dazu ist häufig nicht sofort als gefährlich zu erkennen. Teilweise in perfektem Deutsch formuliert, suggeriert sie, im Anhang eine Rechnung mitzusenden oder tarnt sich gar als Nachricht von realen Geschäftspartnern. Die Datei im Anhang selbst gibt dann vor, mit einer älteren Office-Version erstellt worden zu sein und fordert den Nutzer dazu auf, die Funktion „Enable Content“ zu aktivieren. Und genau das ist der Dreh- und Angelpunkt der Masche hinter der Malware. Bestätigt der Nutzer die Aktivierung, werden entsprechende Makros ausgeführt, die den Trojaner im Hintergrund herunterladen und installieren.

Neu ist jetzt, dass Trickbot selbst nach kurzer Zeit eigenständig ein weiteres Modul nachlädt, das dann vollständige Login-Daten abgreifen und an den Angreifer-Server senden. Der Name dieses Moduls lautet pwgrab und soll erst vergangenen Herbst entwickelt worden sein. Zusätzlich zu Benutzerdaten und Passwörtern liest pwgrab beispielsweise auch Autofill-Informationen aus dem Browser sowie dessen Historie und gesetzte Cookies. Das gilt übrigens nicht nur für den immer als Sicherheitsrisiko dargestellten Internet Explorer, sondern auch für seine vermeintlich sicheren Kollegen Microsoft Edge, Google Chrome und Firefox.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Ryuk Ransomware

Die Ransomware Ryuk greift gezielt Unternehmen an – und hat dabei einen starken Verbündeten. Gemeinsam mit dem Trojaner Emotet steigt die Opfer-Zahl der neuen Angriffswelle täglich.

Ryuk Ransomware macht gemeinsame Sache mit Emotet

Noch nicht allzu lange ist es her, dass der Trojaner Emotetdie erste große Angriffswelle auf Unternehmen startete. Getarnt als harmlos wirkende Rechnungs-E-Mail von Anbietern wie z. B. DHL oder der Telekom, verbreitete sich Emotet in Windeseile auf tausenden von Rechnern im gesamten Bundesgebiet. Die offizielle Warnung des Bundesamts für Sicherheit in der Informationstechnikerreichte viele (einmal wieder) nicht mehr rechtzeitig. Noch gefährlicher als Emotet in Reinkultur ist dafür die aktuell umhergehende Weiterentwicklung in Verbindung mit TrickBot und der Ransomware Ryuk. Wir verraten, was das teuflische Trio anrichten kann und wie Sie sich und Ihr Unternehmen vor den bösen Folgen schützen können.

Ryuk und Emotet kommen per E-Mail

An der grundsätzlichen Vorgehensweise der Cyber-Kriminellen, die hinter den Angriffen stecken, hat sich erst einmal nichts geändert. Das Malware-Paket erreicht seine Ziele nach wie vor in Form von E-Mails, die in der Regel mehr oder minder gut getarnt sind. Im Dezember verkleidete sich Emotet in den meisten Fällen als Rechnung, jedoch sollten Unternehmer auch bei anderer elektronischer Post vorsichtig sein. Ebenfalls beliebt: augenscheinliche Bewerbungen auf tatsächlich vakante Stellen. Statt Lebenslauf und Anschreiben birgt der Anhang dann allerdings die gefährliche Schadsoftware-Kombination.

Alles in allem ist die E-Mail-Masche trotz aller Warnungen, Sicherheitssoftware und Aufklärung sehr erfolgreich. Das BSI vermeldete bereits, dass es bei einigen Firmen zu langen Produktionsausfällen gekommen sei. Das läge aber unter anderem auch daran, dass allein der Wiederaufbau infizierter Firmennetze überdurchschnittlich viel Zeit in Anspruch nähmen. Aber egal ob großes, mittleres oder kleines Netzwerk: wer einen (wirtschaftlichen) Schaden vermeiden will, muss ein wenig Zeit, Geld und Aufmerksamkeit investieren. Anderenfalls zählt man eventuell schon bald zu den zahlreichen Unternehmen, die bereits satte Lösegeld-Forderungen bedienten.

So infizieren Ryuk und Emotet das Firmennetzwerk

Der Trojaner Emotet ist quasi der Dietrich, der seinen Mitstreitern die Tür zu Arbeitsplatz und Server öffnet. Er installiert sich bei Öffnen des E-Mail-Anhangs selbst und beginnt dann, das gesamte Netzwerk auszuspähen. Wo auch immer Schlupflöcher und Sicherheitslücken vorhanden sind: Emotet findet sie. Als nächstes kommt TrickBot zum Einsatz. Er sucht und findet Kontozugangsdaten – natürlich bevorzugt die für Bankkonten. Zu guter Letzt hat dann die Ryuk Ransomware ihren großen Auftritt. Um an weiteres Geld der Opfer zu gelangen, verschlüsselt Ryuk sämtliche Daten und fordert zur Lösegeld-Zahlung auf. Besonders perfide: findet die Ransomware Datensicherungen, löscht sie selbige einfach.

Schutz vor Emotet, TrickBots und Ruyk

Nach wie vor ist eine gute und aktuelle Sicherheitssoftware das A und O bei der Trojaner- und Ransomware-Prävention. Unsere Empfehlung: überlassen Sie die IT-Sicherheit Ihres Unternehmens keinesfalls dem Zufall und bestenfalls einem erfahrenen Dienstleister. Nur so können Sie sicher sein, dass sämtliche, relevanten Updates unverzüglich angestoßen werden und von der Anti-Virus-Software bis zum Browser alle Komponenten jederzeit auf dem neuesten Stand sind. Was Emotet und die Ryuk Ransomware konkret betrifft: Vorsicht bei dem Öffnen von E-Mail-Anhängen mit Microsoft Word. Der Trojaner nutzt hier die Aktivierung von Makros als Einfallstor. Sensibilisieren Sie daher auch immer Ihre Angestellten für ein erhöhtes Sicherheitsempfinden und gegen schnelle Klicks beim Öffnen von Anhängen unbekannter Quellen oder Absender.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.