Trickbot in vermeintlichen Mails des Bundesgesundheitsministeriums versteckt

Aktuell sorgt eine Phishing-Mail für ungute Stimmung. Täuschend echt fordert sie die Adressaten dazu auf, ein angehängtes Formblatt gründlich zu lesen. Doch wer dies macht, kommt mit Trickbot in Kontakt, der Trojaner hilft kritischer Ransomware schlussendlich das eigene IT-System zu zerstören.

„Diese Meldung wird allen Berechtigten Mitarbeitern zugesendet, um bestimmte Anpassungen weiterzugeben, welche am aktuellen Familien- und Krankenurlaub im Hinblick auf die neueste Corona-Entwicklung vorgenommen wurde“, so heißt es in der aktuellen Phishing-Mail, anscheinend vom Bundesgesundheitsministerium verschickt. Diese Nachricht ist mit einer Erwartungshaltung gegenüber den Arbeitnehmern verfasst, sich den Anhang genau durchzulesen.

Der Druck steigt also, das beigefügte Schreiben zumindest zu überfliegen. Wer dieses öffnet, stürzt sich jedoch ins Chaos. Es wird automatisiert der Trojaner Trickbot installiert. Dieser öffnet anderer Ransomware wie Ryuk die Pforten in das eigene System, welche dieses beispielsweise verschlüsselt und abschließend in einer Nachricht dazu auffordert, ein Lösegeld zu bezahlen. Das gefährliche dabei ist, dass Trickbot selbst oft nicht erkannt wird, nur die durch ihn verbreitete weitere Schadsoftware. Er selbst bleibt lieber in den Schatten und erzeugt lediglich zusätzlichen Netzwerkverkehr und Störgeräusche.

Im Falle einer Trickbot-Infektion sollten folgende Schritte beachtet werden:

1. Deaktivieren Sie den Internetzugang an der betroffenen Stelle, um das Ausmaß der Exfiltration von Zugangsdaten, die mit externen Ressourcen Dritter verbunden sind, zu minimieren.
2. Überprüfen Sie die betroffenen Subnetze, ziehen Sie auch in Betracht, das Netzwerk vorübergehend offline zu schalten, um die Identifizierung durchzuführen, Neuinfektionen zu verhindern und die Verbreitung der Malware zu stoppen.
3. Identifizieren Sie die infizierten Computer, fahren Sie diese herunter und nehmen Sie sie aus dem Netzwerk.
4. Beginnen Sie mit der Sanierung von Multi-Homed-Systemen, da diese über Virtual Local Area Networks (VLANs) kommunizieren können und ein potenzielles Mittel zur Verbreitung von Malware darstellen können.
5. Erstellen Sie saubere VLANs, die keinen Zugang zu infizierten VLANs haben. Nachdem die Systeme neu gesichert oder von einem bekanntermaßen guten Backup wiederhergestellt wurden, legen Sie sie auf das saubere VLAN.
6. Melden Sie sich bei infizierten Systemen nicht mit Domänen- oder gemeinsamen lokalen Administratorkonten an. Dies ist die beste Wiederherstellungsstrategie, da TrickBot über mehrere Möglichkeiten verfügt, Zugriff auf Anmeldeinformationen zu erhalten.
7. Da TrickBot dafür bekannt ist, sowohl Domänen- als auch lokale Anmeldeinformationen zu kopieren, wird empfohlen, eine netzwerkweite Kennwortzurücksetzung durchzuführen. Dies geschieht am besten, nachdem die Systeme bereinigt und in das neue VLAN verschoben wurden. Dies wird empfohlen, damit neue Passwörter nicht von der Malware gelöscht werden.
8. Bestimmen Sie den Infektionsvektor (der sogenannte „Patient Null“), um die Grundursache des Vorfalls zu ermitteln.
9. Am wichtigsten ist eine transparente Kommunikation mit der Organisation. Es ist wichtig, den gesamten Weg, jede betroffene Ressource herauszufinden und auch, warum diese vom Netz genommen wird. Das Unternehmen wird eine Ausfallzeit spüren, der Schaden daraus ist jedoch geringer einzuschätzen.
10. Es dürfen auch keine Beweise vernichtet werden, wenn es sich um Lösegeld handelt. Wenn eine Hoffnung auf Entschlüsselung besteht, muss der Spezialist so viel wie möglich über die Forderungen wissen, auch wenn dies oft unangenehm sein kann.

Mitarbeiter sind der erste Schutz vor Trickbot

Um sich gegen solche Attacken zu wappnen, sollten Unternehmen in den Aufbau einer „menschlichen Firewall“ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training und darin enthaltenen regelmäßig durchgeführten simulierten Phishing-Tests geschult werden. Die Trainings unterstützen die Mitarbeiter dabei bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr eines Angriffs.

Generell sollten folgende Schritte beachtet werden, um sich gegen Trickbot-Infektionen zu schützen:

1. Bereitstellung von Social Engineering und Phishing-Schulungen für Mitarbeiter.
2. Wenn Sie keine Richtlinie für verdächtige E-Mails haben, sollten Sie die Erstellung einer solchen in Erwägung ziehen und festlegen, dass alle verdächtigen E-Mails der Sicherheits- und/oder IT-Abteilung gemeldet werden müssen.
3. Kennzeichnen Sie externe E-Mails mit einem Banner, der darauf hinweist, dass sie von einer externen Quelle stammen. Dies wird den Benutzern helfen, gefälschte E-Mails zu erkennen.
4. Implementieren Sie am E-Mail-Gateway Filter für E-Mails mit bekannten Malspam-Indikatoren, wie zum Beispiel bekannte bösartige Betreffzeilen, und blockieren Sie verdächtige IP-Adressen direkt an der Firewall.
5. Organisationen sollten erwägen, die Technologie der Anwendungs-Whitelist auf allen Anlagen einzusetzen, um sicherzustellen, dass nur autorisierte Software ausgeführt wird und alle nicht autorisierte Software an der Ausführung auf Anlagen gehindert wird. Das Unternehmen sollte zusätzlich sicherstellen, dass die Software zur Erstellung von Anwendungs-Whitelists nur autorisierte, digital signierte Skripte auf einem System ausführen darf.
6. Halten Sie sich an den Grundsatz der geringsten Privilegien und stellen Sie sicher, dass die Benutzer den zur Erfüllung ihrer Aufgaben erforderlichen Mindestzugriff haben. Beschränken Sie administrative Berechtigungsnachweise auf bestimmte Administratoren. Dies stellt auch sicher, dass nachverfolgt werden kann, wer Patient-0 ist.
7. Implementieren Sie eine zentral verwaltete, aktuelle Anti-Malware-Lösung. Zusätzlich zu wertvollen Präventiv- und Korrekturfunktionen sind die von der Anti-Malware-Software bereitgestellten Kontrollen von Vorteil, da sie ein Bewusstsein für alle Bedrohungen schaffen, die in der Umgebung aktiv werden können.
8. In der Praxis macht es viel Sinn einen Phish-Alert zu installieren. Dies ist ein Button, bei dem Endbenutzer bedrohlich wirkende Mails direkt und einfach melden können, sodass der Absender direkt bei allen Geräten der Organisation in Quarantäne gesetzt wird und erst nach Überprüfung darüber entschieden wird, ob Mails von ihm weiterhin geöffnet werden dürfen. Der Button vereinfacht diesen Prozess erheblich.

Von Jelle Wieringa, Security Awareness Advocate bei KnowBe4