Trickbot botnet offline gehaald door reeks bedrijven

Een botnet genaamd Trickbot is door een reeks bedrijven offline gehaald. Dit deden de bedrijven door servers over te nemen die werden gebruikt voor het aansturen van het botnet.

Bij de actie waren Microsoft, ESET, Symantec, FS-ISAC, Black Lotus Labs en NTT betrokken. ESET droeg bij aan de inspanning met technische analyse, statistische informatie en bekende command en control server domeinnamen en IP-adressen. Enkele hiervan bevonden zich ook in Nederland. Trickbot staat bekend om het stelen van inloggegevens van gecompromitteerde computers en is, recentelijker, grotendeels waargenomen als een afleveringsmechanisme voor schadelijkere aanvallen, zoals ransomware.

Bevel van de rechtbank

Microsoft meldt een bevel van de rechtbank te hebben gebruik om het Trickbot botnet uit de lucht te halen in de aanloop naar de Amerikaanse presidentsverkiezingen. Het bedrijf meldt een reeks IP-adressen in beslag te hebben genomen die activiteiten aanstuurde op met Trickbot besmette machines.

Ook het Amerikaanse leger lijkt betrokken te zijn geweest. Het U.S. Cyber Command heeft aanvallen uitgevoerd op Trickbot, melden anonieme bronnen binnen het leger aan The Washington Post. Het is onduidelijk of dit in samenwerking ging met de reeks bedrijven die melden de infrastructuur achter Trickbot onderuit te hebben gehaald.

Ruim 125.000 schadelijke monsters in 2020

ESET Research volgt Trickbot's activiteiten sinds de eerste detectie eind 2016. Alleen al in 2020 heeft ESET's botnet tracker platform meer dan 125.000 schadelijke monsters geanalyseerd en meer dan 40.000 configuratiebestanden gedownload en gedecodeerd die door de verschillende Trickbot modules worden gebruikt. Deze bestanden geven een goed beeld van de verschillende C&C servers die door dit botnet worden gebruikt.

"In de loop der jaren zijn er regelmatig Trickbot-infecties gemeld. Daarmee is het één van de grootste en langstlevende botnets die er zijn. Trickbot is een van de meest voorkomende malware varianten gericht op internetbankieren, en deze malwarefamilie vormt een bedreiging voor internetgebruikers wereldwijd," verklaart Jean-Ian Boutin, Head of Threat Research bij ESET.

Gedurende zijn bestaan is deze malware op verschillende manieren verspreid. Onlangs constateerden we vaak dat Trickbot wordt gedropt op systemen die al door Emotet, een ander groot botnet, zijn geïnfecteerd.

Bezochte websites aanpassen

Een van de oudste plug-ins die voor het platform zijn ontwikkeld, stelt Trickbot in staat om websites vrijwel volledig aan te passen die door een gebruiker worden bezocht. "Door onze monitoring van Trickbot-campagnes hebben we tienduizenden verschillende configuratiebestanden verzameld, waardoor we weten op welke websites de operators van Trickbot zich richten. De doelwit-URL's zijn meestal van financiële instellingen", voegt Boutin toe.

"Proberen deze ongrijpbare dreiging te verstoren is zeer uitdagend, omdat het verschillende manieren heeft ingebouwd om verstoring te voorkomen, en de koppeling met andere zeer actieve cybercriminele groeperingen in de onderwereld maakt de algehele operatie uiterst complex," concludeert Boutin.

Voor meer technische details over Trickbot, verwijzen wij u naar de volledige blogpost 'ESET takes part in global operation to disrupt Trickbot' op WeLiveSecurity.