Kommentare zu folgendem Beitrag: Lesetipps: Razzia bei FinFisher, TrickBot hat überlebt, Spione im Darknet
Zum Thema „Trickbot“:
Natürlich hat Trickbot die Aktionen seitens Microsoft und den anderen Beteiligten überlebt! In den letzten Jahren hatte sich Microsoft, in Verbindung mit anderen Firmen und Organisationen, schon öfters in der Internet-Gemeinde als quasi „Heilsbringer“ hervorgetan und andere Botnetze und Ransomware-Infrastrukturen abgeschaltet…
Allerdings gehen sie dabei eigentlich immer nach dem gleichen Schema vor und das wissen auch die Betreiber dieser Botnetze mittlerweile. Spätestens nach der Abschaltung von dem „Necurs“ Netzwerk im März diesen Jahres, haben sich die kriminellen Betreiber der Netze entsprechend angepasst, um die eigene Infrastruktur zu schützen bzw. um eine nahezu 100%ige Uptime zu gewährleisten!
Hinter dem eigentlichen, aktiven Netzwerk, wurden sogenannte Schatten-Netze aufgebaut, die zum Beispiel im Falle eines „Takedown“ in kürzester Zeit, in Teilen oder auch komplett, die abgeschaltete Hardware ersetzen können! Dies wurde natürlich gemacht, um die Funktionen des Botnetzes online zu halten bei genau solchen Aktionen…
Vielleicht sollten Microsoft und seine Partner einfach mal ihre bisherigen Strategien in diesen Fällen neu überdenken, um dieses „Backup“ der Botnetz-Betreiber mit einzubeziehen in der Zukunft. Denn eins ist ganz klar: Zur Abschaltung solcher riesigen Netzwerke, wird man auch zukünftig auf die massive Hilfe solcher großen Player, wie z.B. Microsoft angewiesen sein !
Nachtrag zu Trickbot:
Seit Ende September fährt das US-Militär eine Operation gegen die Schadsoftware und eines der größten Botnetzwerke Trickbot. Mit mehreren Angriffen sollen dem Netzwerk die Bots entrissen und die Datenbank auf dessen Kontrollserver mit nicht-existierenden Bots gefüllt worden sein.
Laut einem Bericht der Washington Post sollen mit der Operation die US-Präsidentschaftswahlen im November vor Angriffen geschützt werden. Die Schadsoftware Trickbot hat es auf Zugangs- und Bankdaten auf den befallenen Systemen abgesehen, gefolgt von einer Verschlüsselung des befallenen Systems und einer damit einhergehenden Lösegeldforderung.
Derlei Angriffe aus staatliche Wählerregistrierungsstellen und damit verbundene Systeme könnten die Vorbereitungen für die US-Präsidentschaftswahl am 3. November stören oder am Wahltag selbst für Verwirrung oder lange Schlangen sorgen, befürchten Beamte des US-Heimatschutzministeriums laut dem Bericht. Ransomware werde jedoch auch über die Wahlen hinaus als eine große Bedrohung gesehen.
Die Angriffe des Cyber Commands des US-Militärs sollen derweil nicht dazu dienen, das Botnetzwerk dauerhaft zu demontieren. Vielmehr solle damit die russischsprachige Gruppe hinter Trickbot eine Weile abgelenkt und beschäftigt gehalten werden, schreibt die Washington Post unter Berufung auf vier US-Beamte. Das Cyber Command nennt die Strategie „beharrliches Engagement“ (persistent engagement), die Auferlegung kumulativer Kosten auf gegnerische Gruppen, indem man sie beschäftigt hält.
Laut dem Journalisten Brian Krebs wurden den Bots bei den Angriffen neue Konfigurationsdateien untergeschoben. Diese enthielten eine neue IP-Adresse für die Command-and-Control-Server des Botnetzwerkes: 127.0.0.1. Diese verweist nicht mehr auf Kontrollserver im Internet, sondern auf den lokalen Rechner selbst. Die Verbindung wurde gekappt. Gleichzeitig wurden die Command-and-Control-Server mit Millionen neu-infizierten Rechnern überschwemmt, die jedoch gefälscht waren.
Allerdings könne die Trickbot-Gruppe auf einen Wiederherstellungsmechanismus setzen und die Bots über das dezentralisierte Domänennamensystem EmerDNS wiederherstellen, schreibt Krebs. Insofern dürften die Angriffe die Trickbot-Gruppe vor allem beschäftigt halten, die möglicherweise die Lösegeldforderungen bei bereits verschlüsselten Rechnern erhöhen, um ihre Einnahmeausfälle auszugleichen.(golem)