TrickBot: Det mangesidede botnet

Hvad er det, der gør TrickBot-botnettet så farligt? TrickBot udgør sammen med banktrojanerne Emotet, der siden er uskadeliggjort, og Retefe en fare for din computer. TrickBot og botnettet bag malwaren er en udfordring for specialister i cybersikkerhed.
Siden 2016 har cyberkriminelle brugt TrickBot til at infiltrere andre menneskers computere for at skaffe sig adgang til fortrolige private oplysninger. Ofrene for disse cyberangreb omfatter ikke kun virksomheder, men også privatpersoner. Både malwarens omfang og dens funktioner er vokset betydeligt, siden den blev opdaget i 2016. Der fokuseres ikke længere udelukkende på datatyveri – TrickBot kan også ændre netværkstrafik og sprede sig yderligere. Når TrickBot først er trængt ind i et system og har inficeret computeren, åbner malwaren bagdøren for yderligere malware.

Det er især TrickBots evne til at mutere, og de mange plug-ins, den nu medbringer, der gør den farlig og skadelig. Som det plejer at være tilfældet for malware i form af trojanske heste, er TrickBot mester i at skjule sig for ofret. Det er derfor kun muligt at registrere og fjerne den, hvis man er meget opmærksom og bruger den bedste sikkerhedssoftware, for eksempel Kaspersky Anti-Virus .

Sådan spredes banktrojaneren TrickBot

Til at begynde med trængte TrickBot ofte ind i systemer via phishing-e-mails. Phishing-e-mails er falske e-mails fra velkendte institutioner og virksomheder, der ofte indeholder en vedhæftet fil. E-mailen anmoder ofrene for TrickBot-angrebet om at åbne den vedhæftede fil eller klikke på et link, hvilket fører til, at enheden bliver inficeret. Når den vedhæftede fil åbnes, downloades malwaren. En TrickBot-infektion kan for eksempel også opstå i forbindelse med ondsindede opdateringer eller forårsages af malware, der allerede findes på slutenheden. Når malwaren først er kommet ind på computeren og kan gemme brugerens data, er et af dens vigtigste mål at forblive uopdaget så længe som muligt.

Hvordan fungerer et TrickBot-angreb?

I et TrickBot-angreb lukkes først Windows-tjenesterne og de aktiviteter, der udføres af Windows Defender eller anden antivirussoftware. TrickBot anvender derefter forskellige metoder til at skaffe sig udvidede rettigheder. De administrative rettigheder, malwaren har skaffet sig, kan derefter bruges af yderligere plug-ins, som malwaren indlæser automatisk. Efterfølgende kan TrickBot udspionere både systemet og netværk og indsamle data fra brugeren. De oplysninger, malwaren indsamler, videresendes derefter til eksterne enheder eller til de cyberkriminelle bag angrebet.

Hvilke konsekvenser har banktrojaneren for ofret og slutenheden?

Virussen "Win 32/TrickBot.AK" bevirker, at data lagres uden brugerens samtykke, og udspionerer slutenhedens bruger. En måde, malwaren kan skaffe sig adgang til dataene på, er for eksempel ved at vise falske dialogbokse. Selve TrickBot lagrer ikke tastetryk eller tager screenshots. Trojaneren kan oprette forbindelse til en fjernserver og tilhører en gruppe automatiseret malware, der kaldes et botnet. TrickBot påvirker ikke computerens ydeevne, og den reagerer stadig normalt på kommandoer. TrickBot kan imidlertid udføre et DDoS-angreb (Distributed Denial of Service). I det tilfælde fører et stort antal målrettede anmodninger fra et stort antal computere til afbrydelse af en tjeneste. TrickBot-malwaren kan desuden downloade malware på inficerede computere, sprede sig selv og oprette angrebspunkter til hackere.

Registrering af TrickBot og fjernelse af banktrojanere

Du skal være ekstra årvågen for at registrere en TrickBot-infektion. De mulige tegn på en infektion med malwaren kan for eksempel være onlinekonti med uautoriserede loginforsøg. Ofre for et angreb får sommetider en advarsel i form af en ændring i netværkets infrastruktur. Et senere og fatalt tegn på en infektion med malwaren kan også være en bankoverførsel, der har fundet sted, uden at du selv har været involveret. Malwaren kan forklæde sig som en legitim computerproces eller en almindelig fil. Dette gør den nærmest umuligt at opdage, og hvis du sletter filer, der ser mistænkelige ud, kan det forårsage uoprettelig beskadigelse af computeren. Da TrickBot er en trojaner, der stjæler data, skal den fjernes så hurtigt som muligt. Anti-malware-produkter som dem fra Kaspersky er den optimale løsning. Det er ekstremt tidskrævende både at finde en TrickBot-infektion og at fjerne banktrojaneren.

Udfyldning af loginoplysninger med mere – konsekvenserne af et TrickBot-angreb

Som allerede nævnt stjæler TrickBot logindata ved at bruge udfyldning af loginoplysninger. Udfyldning af loginoplysninger er en metode, cyberkriminelle anvender til relevante onlinekonti. I starten blev pengeinstitutter, herunder banker, anset som det primære mål for TrickBot. Cyberkriminelle får uautoriseret adgang til personlige konti ved at stjæle private legitimationsoplysninger. Disse kan derefter bruges til for eksempel at foretage bankoverførsler. Ud over adgangskoder og brugernavne kan TrickBot også skaffe sig adgang til browserens oplysninger om autoudfyldning samt dens historik og lagrede cookies.

Typiske konsekvenser af et TrickBot-angreb

Ofre for TrickBot-angreb oplever normalt en række typiske konsekvenser. For det første er deres konti blevet overtaget af cyberkriminelle. For det andet kræver hackerne normalt en løsesum for at frigive kontiene eller filerne. Sidst, men ikke mindst, kan ransomware sprede sig til andre filer på de inficerede enheder.

Bekæmpelse af TrickBot: Sådan beskytter du dig bedst mod et angreb

• Brug professionel antivirussoftware eller en trojanerscanner.
• Vær forsigtig, når du kontrollerer spam-e-mails. Afhold dig fra at åbne mistænkelige e-mails eller e-mails fra ukendte afsendere og vedhæftede filer i dem. Gør det også klart for dine medarbejdere, at de under ingen omstændigheder må give deres samtykke til aktivering af makroer.
• Softwaren på computere skal altid være opdateret.
• Vær årvågen, når du opdaterer software.
• Brug officielle udbydere af software frem for tredjepartsudbydere, og afvis tilføjelsesprogrammer, når du downloader software.

På trods af utallige sikkerhedsforanstaltninger er der altid en lille risiko for, at en trojaner inficerer din computer. Derfor må du ikke forsømme regelmæssig sikkerhedskopiering af dine data.

TrickBot i kombination med anden malware

Emotet, TrickBot og Ryuk – en kombination, der kan få fatale konsekvenser for dine data

Et mundheld lyder "alle gode gange tre", men dette kunne ikke være mere forkert, når det gælder kombinationen af Trickbot, Emotet og Ryuk. Kombinationen af disse tre malwareprogrammer er særlig farlig og får de skader, et enkelt TrickBot-angreb kan udrette, til at virke nærmest harmløse. De tre programmer samarbejder uden problemer og maksimerer således skaden. Emotet repræsenterer infektionens begyndelse og udfører de klassiske opgaver, som kendetegner en trojansk hest: åbner døren for TrickBot og Ryuk og dermed for de cyberkriminelle. I det næste trin bruger angriberne TrickBot til at skaffe sig adgang til oplysninger om det inficerede system og sørger for, at den spreder sig selv mest muligt i netværket. I det sidste trin placeres crypto-trojaneren Ryuk i så mange systemer som muligt, og den krypterer harddisken i overensstemmelse med de handlinger, ransomwaren udfører. Derudover slettes eventuelle sikkerhedskopier af data, der findes.

TrickBot og IcedID: Et særligt effektivt team af banktrojanere

Dette er ikke den eneste kombination, hvor TrickBot forekommer. Kombinationen af TrickBot og IcedID er lige så farlig. Kombinationen af disse to banktrojanere udgør et endnu mere målrettet angreb på bankdata. IcedID-malwaren overføres for eksempel til ofret via ondsindet spam og åbnes. Dette starter download af TrickBot-malwaren. TrickBot kan derefter udføre sine sædvanlige udspioneringsopgaver og finde ud af, hvilken slags økonomisk svindel der kan gennemføres.

TrickBot og Windows Defender

Malware som TrickBot har i mellemtiden fundet måder, hvorpå den kan undgå at blive registreret af Windows Defender. Det, der er specielt ved TrickBot, er imidlertid, at den ikke kun går under radaren, når den udfører sine opgaver, men at den også går så langt som til fuldstændig at deaktivere Windows Defender.

Sammenfatning

TrickBot udgør en trussel for din computer på grund af sin kerneaktivitet – at stjæle legitimationsoplysninger. Derudover gør dens evne til at mutere og de mange plug-ins, den inviterer med indenfor, den til en upopulær gæst på din slutenhed. TrickBot-angreb er især fatale, når de finder sted i samspil med anden malware. Det gør det endnu vigtigere at registrere malwaren så hurtigt som muligt ved hjælp af fremragende sikkerhedssoftware og et højt opmærksomhedsniveau. Disse forholdsregler kan forhindre, at døren åbnes for yderligere malware.