Dridex von EvilCorp: Profil eines Serientäters

Lesezeit
3 Minuten
Bis jetzt gelesen

Dridex von EvilCorp: Profil eines Serientäters

26.05.2021 - 14:00
Veröffentlicht in:
Der Banking-Trojaner Dridex ist eine der notorischsten Cyberbedrohungen und die verantwortliche Hackergruppe dahinter, EvilCorp, ist mittlerweile für einen Schaden von über 100 Millionen US-Dollar am internationalen Bankenwesen verantwortlich. Doch wie schaffte es die Malware, im März 2020 sogar Emotet von der Spitze der Top-Malware zeitweise zu verdrängen? Wir werfen einen Blick auf die Ursprünge und die Entwicklung des Serientäters.
Der Quellcode von Malware kann verraten, wo ihre Ursprünge liegen. Im Fall von Dridex sind diese auf einen Trojaner namens ZeuS zurückzuführen, der von 2005 bis 2014 aktiv war, bevor die US-amerikanische Ermittlungsbehörde FBI in der Lage war, ihm das Handwerk zu legen. Bereits im Mai 2011 wurde jedoch der Quellcode von ZeuS öffentlich, was zu zahlreichen Nachahmern und Verbesserungen durch andere Hackergruppen führte.

Insgesamt fanden die Sicherheitsexperten bis heute 29 unterschiedliche Malwarefamilien und über 490 unterschiedliche Versionen, die allesamt auf ZeuS zurückzuführen sind. Entsprechend begann das FBI im Jahr 2014 eine Fahndung nach dem Kopf hinter ZeuS, Evgeniy Bogachev, und stellte eine Belohnung in Höhe von drei Millionen US-Dollar für Hinweise in Aussicht, die zu seiner Festnahme führen.

Die ersten Versionen der Malware, die wir heute als Dridex kennen, tauchten schon 2014 auf, damals noch unter dem Namen Bugat v5. Das Botnetz kletterte schnell durch die Ranglisten nach oben und zählte schon 2015 zu den aktivsten Botnetzen weltweit. Es folgte ein Einbruch der Aktivitäten, nachdem Andrey Ghinkul im August 2015 von Ermittlern verhaftet und in die Vereinigten Staaten von Amerika überführt worden war. Daraufhin kehrte Dridex jedoch sehr schnell – anders als erwartet – mit einem Knall zurück. Schon im November 2015 wurde das Botnetz wieder tätig und breitete sich im folgenden Jahr weit aus. Ende 2016 zählten zu Dridex bereits über 30 angeschlossene Haupt- und Sub-Botnetzwerke. Zusätzlich förderten die Akteure hinter Dridex die Entwicklung weiterer Malware, unter anderem der Ransomwares BitPaymer im Jahr 2017 (seit 2019 zu DoppelPaymer gewandelt) und WastedLocker, die 2020 entwickelt wurde.

Im Jahr 2019 zählten Sicherheitsforscher noch 14 aktive Botnetze zu Dridex, teils neu entwickelt, teils alte Bekannte. Auch hier sahen die Ermittlungsbehörden erhöhten Handlungsbedarf und eröffneten erneut eine Fahndung nach dem mutmaßlichen Autor von Dridex und Kopf der Akteure, Maksim Yakubets, diesmal sogar in Höhe von fünf Millionen US-Dollar – bis heute konnte Yakubets nicht gefasst werden.

Die Infektionskette von Dridex
Zur Verteilung der eigenen Malware nutzen die Kriminellen hinter Dridex die Spambots anderer Gruppen, die in der Lage sind, große Mengen mit Malware infizierter E-Mails gezielt zu versenden. Dafür wird das Schadprogramm in Anhängen, wie Dokumenten, versteckt und wird tätig, sobald ein unvorsichtiger Nutzer diese öffnet. Zusätzlich hatte Dridex in der Vergangenheit auch andere Botnetze zur eigenen Verteilung genutzt, unter anderem Necurs, Cutwail und Andromeda.


Bild 1: Infektionskette von Dridex.

Die Angriffe laufen stets gleich ab: Öffnet der Anwender die infizierte Datei, so werden VBA-Makros (Visual Basics for Application) ausgeführt. Diese wiederum starten automatisch ein PowerShell-Skript, das die Nutzdateien (Payload) für Dridex von einem Command-and-Control-Server (C&C) der Hacker herunterlädt. Anschließend wird diese Datei ausgeführt und der Rechner infiziert. Ziel der Angriffe waren bisher unter anderem US-Bankkonten, US-Kreditkartengesellschaften, US-Finanzinvestitionsgesellschaften, europäische Bankkonten, Regierungsbehörden in Saudi-Arabien, Katar und Oman sowie Anwaltskanzleien in Deutschland.

Um die Opfer gleichzeitig in Sicherheit zu wiegen, nutzen die mit Malware verseuchten E-Mails den Deckmantel legitimer Geschäfte und Dienstleister. Entsprechend lauten die Betreffzeilen sowie die Texte in der Nachricht und entsprechend täuschend echt wirkt die oft sehr professionell gestaltete graphische Aufmachung der E-Mails. Besonders beliebt sind Paketlieferdienste wie FedEx oder DHL, die mit falschen Sendungsinformationen locken – besonders angesichts der aktuellen gesellschaftlichen Lage wegen der Corona-Krise und dem Zuwachs des Versandhandels. Einer der bekanntesten Zwischenfälle in Deutschland war eine Kampagne, die Anwaltskanzleien ins Visier nahm. Die Kriminellen versuchten dabei, sich und die Malware-Mails als Korrespondenzen mit anderen Anwaltskanzleien zu tarnen und so über Dridex einen Zugang zu den Kanzleisystemen zu erlangen.

Gefährliche Payload
Der wichtigste Teil der Infektionskette von Dridex aber ist die Konfiguration in der Payload. Sie enthält wichtige Informationen wie die Bot-ID oder die Anzahl der C&C-Server und eine Liste der C&C-Server selbst. Die Malware sendet eine POST-Anfrage an die in der Konfiguration vermerkten C&C-Server, sobald sie auf dem Zielrechner installiert wurde, und wartet auf eine Empfangsbestätigung derselben. Um die Nachverfolgung dieser verräterischen Kommunikation zu erschweren, nutzt Dridex den Umweg über mehrere Reihen von Proxy-Servern, um die C&C-Server zu kontaktieren.


Bild 2: Infrastruktur des Dridex-Botnetzes.

Ist der Kontakt hergestellt, werden die Befehle an die Malware ausgegeben und sie beginnt damit, Informationen über den infizierten Rechner zu sammeln, zu verschlüsseln und an das die Server des Botnetzes zu übermitteln. Zu den attraktiven und überaus nützlichen Informationen gehören

  • der Computer-Name
  • die Botnetz-ID-Nummer
  • der Typus der Anfrage
  • die Betriebssystemarchitektur
  • die Liste der installierten Software
Zusätzlich fungiert Dridex als Keylogger, was bedeutet, dass die Malware die Tastaturanschläge des infizierten Rechners aufzeichnet. Das ermöglicht den Angreifern den Diebstahl von Zugangsinformationen wie Passwörtern und personenbezogenen Daten der Opfer, darunter Bankkonto-Details.

Seite 1: Die Infektionskette von Dridex

ln/Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.