Trickbot steelt inloggegevens en verspreidt sinds kort ook ransomware; Het onderzoeksteam van ESET leverde een bijdrage aan de operatie door middel van technische analyse.
Sliedrecht, 12 oktober 2020 – ESET-onderzoekers hebben deelgenomen aan een wereldwijde operatie om het Trickbot-botnet te ontregelen. Het botnet heeft sinds 2016 meer dan een miljoen computers geïnfecteerd en maakte afgelopen jaar alleen in Nederland al meer dan duizenden slachtoffers. Samen met partners Microsoft, Lumen's Black Lotus Labs Threat Research, NTT en anderen, heeft de operatie een impact gehad op Trickbot door hun commando- en controleservers onschadelijk te maken. ESET droeg bij aan de inspanning met technische analyse, statistische informatie en bekende command en control server domeinnamen en IP-adressen. Enkele hiervan bevonden zich ook in Nederland. Trickbot staat bekend om het stelen van inloggegevens van gecompromitteerde computers en is, recentelijker, grotendeels waargenomen als een afleveringsmechanisme voor schadelijkere aanvallen, zoals ransomware.
ESET Research volgt Trickbot's activiteiten sinds de eerste detectie eind 2016. Alleen al in 2020 heeft ESET's botnet tracker platform meer dan 125.000 schadelijke monsters geanalyseerd en meer dan 40.000 configuratiebestanden gedownload en gedecodeerd die door de verschillende Trickbot modules worden gebruikt. Deze bestanden geven een uitstekend beeld van de verschillende C&C servers die door dit botnet worden gebruikt.
"In de loop der jaren zijn er regelmatig Trickbot-infecties gemeld. Daarmee is het één van de grootste en langstlevende botnets die er zijn. Trickbot is een van de meest voorkomende malware varianten gericht op internetbankieren, en deze malwarefamilie vormt een bedreiging voor internetgebruikers wereldwijd," verklaart Jean-Ian Boutin, Head of Threat Research bij ESET.
Gedurende zijn bestaan is deze malware op verschillende manieren verspreid. Onlangs constateerden we vaak dat Trickbot wordt gedropt op systemen die al door Emotet, een ander groot botnet, zijn geïnfecteerd.
Wereldwijde Trickbot-detecties door ESET-telemetrie tussen oktober 2019 en oktober 2020
Een van de oudste plug-ins die voor het platform zijn ontwikkeld, stelt Trickbot in staat om websites vrijwel volledig aan te passen die door een gebruiker worden bezocht. "Door onze monitoring van Trickbot-campagnes hebben we tienduizenden verschillende configuratiebestanden verzameld, waardoor we weten op welke websites de operators van Trickbot zich richten. De doelwit-URL's zijn meestal van financiële instellingen", voegt Boutin toe.
"Proberen deze ongrijpbare dreiging te verstoren is zeer uitdagend, omdat het verschillende manieren heeft ingebouwd om verstoring te voorkomen, en de koppeling met andere zeer actieve cybercriminele groeperingen in de onderwereld maakt de algehele operatie uiterst complex," concludeert Boutin.
Voor meer technische details over Trickbot, verwijzen wij u naar de volledige blogpost: “ESET takes part in global operation to disrupt Trickbot” op WeLiveSecurity.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.