Die modulare Windows-Crimeware-Plattform, die als TrickBot bekannt ist, hat am Donnerstag offiziell ihre Infrastruktur abgeschaltet, nachdem Berichte über ihren bevorstehenden Rückzug aufgetaucht waren, nachdem ihre Aktivität fast zwei Monate lang abgenommen hatte.
„TrickBot ist weg… Ab Donnerstag, dem 24. Februar 2022, ist es nun offiziell. Wir sehen uns bald wieder… oder auch nicht“, twitterte Vitali Kremez, CEO von AdvIntel. „TrickBot ist verschwunden, da es für gezielte Angriffe ineffizient geworden ist.“
TrickBot wird einer russischen kriminellen Organisation namens Wizard Spider zugeschrieben. Er begann Ende 2016 als Finanztrojaner und ist ein Derivat einer anderen Banking-Malware namens Dyre, die im November 2015 zerlegt wurde. Im Laufe der Jahre entwickelte sich der Trojaner zu einem wahren Schweizer Taschenmesser an bösartigen Fähigkeiten, mit dem Bedrohungsakteure Informationen über Webinjektionen stehlen und zusätzliche Nutzdaten einschleusen können.
Die Aktivitäten von TrickBot erhielten im Oktober 2020 einen deutlichen Dämpfer, als das U.S. Cyber Command und ein Konsortium privater Sicherheitsunternehmen unter der Führung von Microsoft versuchten, einen Großteil seiner Infrastruktur zu stören.
Die kriminelle Organisation soll mehr als 20 Millionen Dollar in ihre Infrastruktur und ihr Wachstum investiert haben, so die Sicherheitsfirma Hold Security in einem WIRED-Bericht Anfang des Monats. Sie verwies auf die „geschäftsähnliche Struktur“ von TrickBot, mit der das Tagesgeschäft abgewickelt und neue Ingenieure für die Gruppe „angeworben“ werden.
Diese Entwicklung kommt zu einem Zeitpunkt, an dem zwei Berichte der Cybersecurity-Firmen AdvIntel und Intel 471 die Möglichkeit andeuten, dass die fünfjährige Geschichte von TrickBot zu Ende gehen könnte, da die Betreiber aufgrund der zunehmenden Transparenz ihrer Malware-Operationen auf neuere, verbesserte Malware wie BazarBackdoor (auch bekannt als BazarLoader) umsteigen.
„TrickBot ist schließlich eine relativ alte Malware, die nicht großartig aktualisiert wurde“, so die Forscher von Intel 471. „Die Erkennungsraten sind hoch und der Netzwerkverkehr der Bot-Kommunikation ist leicht zu erkennen.“
Tatsächlich zeigt der Feodo Tracker des Malware-Tracking-Forschungsprojekts Abuse.ch, dass seit dem 16. Dezember 2021 zwar keine neuen Command-and-Control (C2)-Server für TrickBot-Angriffe eingerichtet wurden, BazarLoader und Emotet aber in vollem Gange sind und erst am 19. bzw. 24. Februar neue C2-Server registriert wurden.
BazarBackdoor, das erstmals 2021 auftauchte, war ursprünglich Teil des modularen Toolkit-Arsenals von TrickBot, hat sich aber inzwischen zu einer völlig autonomen Malware entwickelt, die vor allem von der Cybercrime-Bande Conti (früher Ryuk) zur Verbreitung von Ransomware in Unternehmensnetzwerken eingesetzt wird.
Der Untergang von TrickBot kam auch deshalb, weil die Betreiber der Conti-Ransomware Top-Talente von ihr abgeworben haben, um sich auf getarnte Ersatz-Malware wie BazarBackdoor zu konzentrieren. „TrickBot ist schon seit einiger Zeit mit Conti verbunden, daher sind weitere Synergien sehr wahrscheinlich“, sagte Intel 471 gegenüber The Hacker News.
Conti wird auch zugeschrieben, das Emotet-Botnetz wiederbelebt und ab November 2021 in sein mehrgleisiges Angriffssystem integriert zu haben, wobei TrickBot ironischerweise nach einer Pause von 10 Monaten als Transportmittel zur Verbreitung der Malware genutzt wurde.
„Die Leute, die TrickBot während seines langen Bestehens geleitet haben, werden jedoch nicht einfach verschwinden“, stellte AdvIntel letzte Woche fest. „Nachdem sie von Conti ‚aufgekauft‘ wurden, haben sie nun eine reiche Perspektive mit sicherem Boden unter den Füßen, und Conti wird immer einen Weg finden, die verfügbaren Talente zu nutzen.“