Um einmal das Wirken und vor allem die aktuelle, gefährliche Präsenz von Ryuk, Emotet, TrickBot und weitere Konsorten aus der Familie der Ransomware besser verstehen zu können,möchte ich euch hiermit einen kleinen Einblick in das derzeitig aktuelle (LIVE!!) Backend / die Infrastruktur (C&C) etc. geben !!

Hier könnt ihr die Liste der Botnet Command&Control-Server (C&Cs) durchsuchen, die von Feodo Tracker verfolgt werden und mit Dridex und Emotet (aka Heodo) verbunden sind. Als Feodo Tracker 2010 gestartet wurde, sollte er Feodo-Botnet-C&Cs verfolgen. Feodo entwickelte sich jedoch weiter und es tauchte ein anderes Stück Feodo-Malware auf:

• Cridex: auch bekannt als Bugat war ein bis etwa 2013 aktiver ebanking-Trojaner. Diese Variante ist nicht mehr aktiv.

• Feodo: ist ein Nachfolger des Cridex ebanking-Trojaners, der 2010 zum ersten Mal erschien. Diese Variante ist nicht mehr aktiv.

• Geodo: ist ein Nachfolger des Feodo ebanking Trojaners, der erstmals 2014 erschien. Diese Variante ist allgemein auch als Emotet bekannt. Diese Variante ist nicht mehr aktiv.

• Dridex: ist ein Nachfolger des Cridex ebanking Trojaners. Er erschien erstmals 2011 und ist bis heute noch sehr aktiv. Es gibt Spekulationen, dass die Botnetzmaster hinter dem Ebanking-Trojaner Dyre ihren Betrieb auf Dridex verlagert haben.

• Heodo: ist ein Nachfolger des Geodo (alias Emotet). Es erschien erstmals im März 2017 und ist auch allgemein als Emotet bekannt. Während es anfangs für E-Banking-Betrug eingesetzt wurde, ging es später in ein Pay-Per-Install (PPI)-ähnliches Botnetz über, das sich über kompromittierte E-Mail-Zugangsdaten verbreitet.

• TrickBot: hat keine Codebasis mit Emotet. Allerdings wird TrickBot in der Regel von Emotet hinterlassen, um sich danach selber seitlich im Ablauf des Infizierungsstrang zu bewegen und zusätzliche Malware
  (wie z.B. Ryuk-Ransomware) zu laden, zu befehligen und letztendlich beim Opfer zu hinterlassen !!!

Hier ein akt. Ausschnitt (bei Artikel-Erstellung) der aktiven C & C’s (LIVE!):

01114×698 163 KB

Die Listen aktualisieren sich in Minuten-Intervallen und natürlich bei Aufdeckung eines neuen Servers etc. pp.
Über die dabei angezeigten IP-Adressen kann man dann noch tiefer forschen, um die Server dahinter mal einzeln zu durchleuchten und / oder um Verteilungs-Domains etc. zu entdecken !!

https://feodotracker.abuse.ch/browse/

Es gibt unter:

https://abuse.ch/

…noch so einige Projekte mehr, gewachsen in den letzten 10 Jahren!!! Ich profitiere auch öfters von der Schnelligkeit und Aktualität der hier veröffentlichten Daten!
Bei jeder neuen Schädlings-Welle bzw. bei Auftreten vollständig neuer Bedrohungen, erstelle ich mir so top-aktuelle BLACKLISTS und / oder ACLs, um z.B. damit Hardware-Firewalls oder Router-Knoten usw. zu füttern !! Es können auch weitere Listen mit „bösartigen“ Verteiler-Domains (inkl. DNS und IPs / Subnetze) erstellt werden, um die Firewalls etc. bei ihrem DPI-Searching abzuhärten !!
Was dann noch durchkommen sollte, ist im Normalfall heiße Luft !!

DENN MALWARE IST SCHEIßE !

…abuse.ch wird von einem beliebigen Schweizer betrieben, der für gemeinnützige Zwecke gegen Malware kämpft…
Mit Durchführung einer Reihe von Projekten, die Internet Service Provider und Netzbetreiber beim Schutz
ihre Infrastruktur unterstützen und somit vor Malware zu schützen. IT-Sicherheitsforscher, Anbieter und Strafverfolgungsbehörden verlassen sich auf auf Daten von abuse.ch, um das Internet sicherer zu machen !!

Hier noch was für den Interessierten vom Security-Lab „CYBEREASON“ (Hier wurde das Zusammenspiel der Ransomware-Kombi bis aufs letzte Bit durchleuchtet !!!

https://www.cybereason.com/blog/triple-threat-emotet-deploys-trickbot-to-steal-data-spread-ryuk-ransomware

Cybereasons Active Monitoring und Hunting Teams haben eine ernsthafte Bedrohung aufgedeckt, die den Emotet Trojaner und den TrickBot Trojaner benutzt, um die Ryuk Lösegeldforderung zu liefern. In den letzten Wochen hat das Active Monitoring Team von Cybereason mehrere Vorfälle von versuchter TrickBot-Infektion festgestellt. Neben diesen Vorfällen und Untersuchungen hat das Team auch Versuche einer Ryuk-Lösungsmittel-Infektion beobachtet. Die Art der Einsatz- und Ausführungstaktiken, -techniken und -verfahren von Ryuk kann je nach Vorfall variieren. Das Cybereason Active Monitoring Team konnte jedoch feststellen, dass mit TrickBot infizierte Computer für eine zukünftige Infektion mit Ryuk anfällig sind.

Obwohl TrickBot als Banking-Trojaner bekannt ist, sind seine Banking-Fähigkeiten in dieser Kampagne eine von vielen Fähigkeiten. In diesem Fall ist er in der Lage, mit einem C2-Server zu kommunizieren, um eine Reihe von sensiblen Daten zu sammeln und zu exfiltrieren. Er ist auch in der Lage, die Ryuk-Ransomware einzusetzen, die Dateien im gesamten Netzwerk verschlüsselt und den Schaden für den Endbenutzer erhöht. Diese Bedrohungen führen zu einer Degradierung der Marke, zu Schäden an einem Unternehmen und zu Schäden an der Person.

SICHERHEITSEMPFEHLUNGEN
Informieren Sie Ihr Team über den richtigen Umgang mit verdächtigen E-Mails, um das erstmalige Herunterladen oder Ablegen von Malware zu verhindern.
Verwenden Sie zum Schutz vor seitlichen Bewegungen keine privilegierten Konten, vermeiden Sie RDPs, ohne die Sitzung ordnungsgemäß zu beenden, speichern Sie keine Kennwörter im Klartext, setzen Sie gute Authentifizierungspraktiken ein, deaktivieren Sie unnötige Freigabeordner und ändern Sie die Namen der in Ihrer Organisation verwendeten Standardfreigabeordner.
Stellen Sie sicher, dass Ihre Systeme gepatcht sind, insbesondere CVE-2017-0144, um die Verbreitung von TrickBot und anderer Malware zu verhindern.
Deaktivieren Sie Makros in der gesamten Umgebung.
Befolgen Sie das Microsoft-Update mit Sicherheitshinweisen zur Verbesserung des Schutzes und der Verwaltung von Anmeldeinformationen in Ihrer Organisation.
Gehen Sie proaktiv an die Sicherheit heran, indem Sie vor dem Beginn eines Vorfalls Jagden durchführen und nach verdächtigem Verhalten suchen.
Entfernen Sie alle Persistenzmechanismen, die möglicherweise von einer der hier erwähnten Malware verwendet wurden, um die Bedrohung zu verringern.
Haben Sie Angst, von einem solchen Angriff getroffen zu werden? Schließen Sie die Löcher in Ihrer Verteidigung mit MITRE ATT&CK. Lesen Sie unser White Paper, um zu erfahren, wie. Laden Sie das Whitepaper „Fünf Stufen zur Schaffung eines strategischen, geschlossenen Sicherheitsprozesses“ von MITRE ATT&CK herunter.

HINTERGRUND ZU RYUK, TRICKBOT UND EMOTET
Ryuk ransomware wurde erstmals im August 2018 bei gezielten Angriffen durch eine unbekannte Infektionsmethode entdeckt. Die Lösegeldforderung scannte ein Ziel aus, verschaffte sich Zugang über Remote Desktop Services oder andere direkte Methoden, stahl Anmeldedaten und zielte dann auf hochkarätige Daten und Server, um das höchstmögliche Lösegeld zu erpressen. Im Januar 2019 wurde eine aktive Kampagne der Ryuk-Lösungsmittelwerbung entdeckt, die auf Opfer abzielte, die zuvor von TrickBot angegriffen wurden. Eine weitere kürzlich entdeckte Kampagne von Emotet-TrickBot-Ryuk wurde dazu verwendet, die Ryuk-Lösungsmittelwerbung zu implementieren und zu initiieren. Das unterscheidet sich von der in dieser Studie erwähnten Kampagne, da diese Kampagne jede Phase des Angriffs detailliert beschreibt, sowie die Verwendung von TrickBot, um sensible Informationen zu stehlen, bevor Ryuk für die Daten der Lösegeldopfer eingesetzt wird.

Obwohl Trojaner in der Regel auf Personen abzielen, die Bankkonto-Zugangsdaten stehlen wollen, wurde der TrickBot-Trojaner auf ähnliche Weise wie in dieser Studie verwendet, um sekundäre Malware zu verbreiten. Der Unterschied zu der in dieser Studie erwähnten Kampagne besteht darin, dass diese Kampagne TrickBot verwendet, um sensible Informationen zu stehlen, und dass sie Ryuk auch einsetzt, um die Daten der Opfer zu erpressen. Kriminelle, die es auf große Unternehmen abgesehen haben, nutzten Spam-E-Mails, um den Trojaner Emotet zu verbreiten, um die TrickBot-Malware zu verbreiten. Sobald ein Rechner mit der TrickBot-Malware infiziert ist, beginnt er, sensible Informationen zu stehlen, und die kriminelle Gruppe versucht festzustellen, ob das Unternehmen ein Branchenziel ist. Ist dies der Fall, liefern sie die Ryuk-Lösungssoftware aus.

Emotet wurde 2014 entdeckt und als Trojaner von Bedrohungsakteuren eingesetzt, um Bankdaten zu stehlen. In jüngerer Zeit wurde es als Dropper für andere ausgeklügelte Malware verwendet.
Emotet hat im Laufe der Jahre mehrere fortschrittliche Funktionen eingeführt, die eine modulare Struktur mit mehreren Modulen, einschließlich eines Installationsmoduls, eines Bankmoduls und eines DDoS-Moduls, aufweisen. Emotet’s Hauptverteilungsmethode sind nach wie vor Phishing-E-Mails, die verschiedene Social-Engineering-Techniken nutzen, um einen Benutzer dazu zu bringen, auf einen bösartigen Link zu klicken oder eine bösartige Microsoft Office-Datei herunterzuladen.

https://www.cybereason.com/blog/triple-threat-emotet-deploys-trickbot-to-steal-data-spread-ryuk-ransomware