Fachartikel

Dridex von EvilCorp: Profil eines Serientäters

Der Banking-Trojaner Dridex ist eine der notorischsten Cyberbedrohungen und die verantwortliche Hackergruppe dahinter, EvilCorp, ist mittlerweile für einen Schaden von über 100 Millionen US-Dollar am internationalen Bankenwesen verantwortlich. Doch wie schaffte es die Malware, im März 2020 sogar Emotet von der Spitze der Top-Malware zeitweise zu verdrängen? Wir werfen einen Blick auf die Ursprünge und die Entwicklung des Serientäters.
In den USA sind Kopfgelder in Millionenhöhe auf die Cyberkriminellen hinter Dridex ausgesetzt.
Der Quellcode von Malware kann verraten, wo ihre Ursprünge liegen. Im Fall von Dridex sind diese auf einen Trojaner namens ZeuS zurückzuführen, der von 2005 bis 2014 aktiv war, bevor die US-amerikanische Ermittlungsbehörde FBI in der Lage war, ihm das Handwerk zu legen. Bereits im Mai 2011 wurde jedoch der Quellcode von ZeuS öffentlich, was zu zahlreichen Nachahmern und Verbesserungen durch andere Hackergruppen führte.

Insgesamt fanden die Sicherheitsexperten bis heute 29 unterschiedliche Malwarefamilien und über 490 unterschiedliche Versionen, die allesamt auf ZeuS zurückzuführen sind. Entsprechend begann das FBI im Jahr 2014 eine Fahndung nach dem Kopf hinter ZeuS, Evgeniy Bogachev, und stellte eine Belohnung in Höhe von drei Millionen US-Dollar für Hinweise in Aussicht, die zu seiner Festnahme führen.

Die ersten Versionen der Malware, die wir heute als Dridex kennen, tauchten schon 2014 auf, damals noch unter dem Namen Bugat v5. Das Botnetz kletterte schnell durch die Ranglisten nach oben und zählte schon 2015 zu den aktivsten Botnetzen weltweit. Es folgte ein Einbruch der Aktivitäten, nachdem Andrey Ghinkul im August 2015 von Ermittlern verhaftet und in die Vereinigten Staaten von Amerika überführt worden war. Daraufhin kehrte Dridex jedoch sehr schnell – anders als erwartet – mit einem Knall zurück. Schon im November 2015 wurde das Botnetz wieder tätig und breitete sich im folgenden Jahr weit aus. Ende 2016 zählten zu Dridex bereits über 30 angeschlossene Haupt- und Sub-Botnetzwerke. Zusätzlich förderten die Akteure hinter Dridex die Entwicklung weiterer Malware, unter anderem der Ransomwares BitPaymer im Jahr 2017 (seit 2019 zu DoppelPaymer gewandelt) und WastedLocker, die 2020 entwickelt wurde.

Im Jahr 2019 zählten Sicherheitsforscher noch 14 aktive Botnetze zu Dridex, teils neu entwickelt, teils alte Bekannte. Auch hier sahen die Ermittlungsbehörden erhöhten Handlungsbedarf und eröffneten erneut eine Fahndung nach dem mutmaßlichen Autor von Dridex und Kopf der Akteure, Maksim Yakubets, diesmal sogar in Höhe von fünf Millionen US-Dollar – bis heute konnte Yakubets nicht gefasst werden.
Die Infektionskette von Dridex
Zur Verteilung der eigenen Malware nutzen die Kriminellen hinter Dridex die Spambots anderer Gruppen, die in der Lage sind, große Mengen mit Malware infizierter E-Mails gezielt zu versenden. Dafür wird das Schadprogramm in Anhängen, wie Dokumenten, versteckt und wird tätig, sobald ein unvorsichtiger Nutzer diese öffnet. Zusätzlich hatte Dridex in der Vergangenheit auch andere Botnetze zur eigenen Verteilung genutzt, unter anderem Necurs, Cutwail und Andromeda.


Bild 1: Infektionskette von Dridex.

Die Angriffe laufen stets gleich ab: Öffnet der Anwender die infizierte Datei, so werden VBA-Makros (Visual Basics for Application) ausgeführt. Diese wiederum starten automatisch ein PowerShell-Skript, das die Nutzdateien (Payload) für Dridex von einem Command-and-Control-Server (C&C) der Hacker herunterlädt. Anschließend wird diese Datei ausgeführt und der Rechner infiziert. Ziel der Angriffe waren bisher unter anderem US-Bankkonten, US-Kreditkartengesellschaften, US-Finanzinvestitionsgesellschaften, europäische Bankkonten, Regierungsbehörden in Saudi-Arabien, Katar und Oman sowie Anwaltskanzleien in Deutschland.

Um die Opfer gleichzeitig in Sicherheit zu wiegen, nutzen die mit Malware verseuchten E-Mails den Deckmantel legitimer Geschäfte und Dienstleister. Entsprechend lauten die Betreffzeilen sowie die Texte in der Nachricht und entsprechend täuschend echt wirkt die oft sehr professionell gestaltete graphische Aufmachung der E-Mails. Besonders beliebt sind Paketlieferdienste wie FedEx oder DHL, die mit falschen Sendungsinformationen locken – besonders angesichts der aktuellen gesellschaftlichen Lage wegen der Corona-Krise und dem Zuwachs des Versandhandels. Einer der bekanntesten Zwischenfälle in Deutschland war eine Kampagne, die Anwaltskanzleien ins Visier nahm. Die Kriminellen versuchten dabei, sich und die Malware-Mails als Korrespondenzen mit anderen Anwaltskanzleien zu tarnen und so über Dridex einen Zugang zu den Kanzleisystemen zu erlangen.

Gefährliche Payload
Der wichtigste Teil der Infektionskette von Dridex aber ist die Konfiguration in der Payload. Sie enthält wichtige Informationen wie die Bot-ID oder die Anzahl der C&C-Server und eine Liste der C&C-Server selbst. Die Malware sendet eine POST-Anfrage an die in der Konfiguration vermerkten C&C-Server, sobald sie auf dem Zielrechner installiert wurde, und wartet auf eine Empfangsbestätigung derselben. Um die Nachverfolgung dieser verräterischen Kommunikation zu erschweren, nutzt Dridex den Umweg über mehrere Reihen von Proxy-Servern, um die C&C-Server zu kontaktieren.


Bild 2: Infrastruktur des Dridex-Botnetzes.

Ist der Kontakt hergestellt, werden die Befehle an die Malware ausgegeben und sie beginnt damit, Informationen über den infizierten Rechner zu sammeln, zu verschlüsseln und an das die Server des Botnetzes zu übermitteln. Zu den attraktiven und überaus nützlichen Informationen gehören

  • der Computer-Name
  • die Botnetz-ID-Nummer
  • der Typus der Anfrage
  • die Betriebssystemarchitektur
  • die Liste der installierten Software
Zusätzlich fungiert Dridex als Keylogger, was bedeutet, dass die Malware die Tastaturanschläge des infizierten Rechners aufzeichnet. Das ermöglicht den Angreifern den Diebstahl von Zugangsinformationen wie Passwörtern und personenbezogenen Daten der Opfer, darunter Bankkonto-Details.

Seite 1: Die Infektionskette von Dridex
26.05.2021/ln/Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point

Nachrichten

Machine Learning für mehr Datensicherheit [24.09.2021]

Die Erfahrungen der vergangenen zwei Jahre sind eindeutig: Einen Ransomware-Angriff zu verhindern ist schwierig. Manche Experten sagen sogar, dass es selbst mit der neuesten Technologie und einem soliden, umfassenden Verteidigungsansatz nahezu unmöglich ist. Wenn es also keinen todsicheren Weg gibt, einen Angriff zu verhindern, ist die Wiederherstellung die nächstbeste Option. Bei einem Wiederherstellungsplan für Ransomware gibt es jedoch viele Entscheidungen und Nuancen. [mehr]

Automatisierte Cybersicherheit [23.09.2021]

LogPoint hat die angekündigte Übernahme des Unternehmens SecBI mit Sitz in Tel Aviv abgeschlossen. Die SOAR- und XDR-Plattform von SecBI soll nun nativ in LogPoint integriert werden, um so eine integrierte, grundlegende Security--Operations-Plattform zu schaffen. LogPoint SOAR soll zusammen mit LogPoint 7.0 im Dezember 2021 veröffentlicht werden, XDR folge Mitte 2022. [mehr]

Sicher aus der Ferne [20.09.2021]

Tipps & Tools

Studie: Über drei Viertel weltweiter Unternehmen nutzen Multicloud [17.08.2021]

Laut einer Umfrage von US-Anbieter Hashicorp setzen 76 Prozent der befragten, weltweit verteilten Unternehmen auf die Multicloud. Nähmen die Firmen nicht auch Hindernisse auf ihrem Weg in die Wolke wahr wie Kostenüberlegungen, Sicherheitsbedenken und Know-how-Mangel, wäre der Cloudanteil noch größer. [mehr]

Im Test: Red Hat OpenShift 4.7 [1.07.2021]

Leicht, effizient und komfortabel sollen IT-Verantwortliche dank OpenShift 4.7 von Red Hat in den Genuss von Container-Orchestrierung mit Kubernetes kommen. Ob dies gelingt, entscheidet sich in der Praxis an Punkten wie Betrieb, Wartung und Sicherheit sowie den vorhandenen Kubernetes-Funktionen. Im Test bewährte sich OpenShift 4.7 zwar sehr gut, gleichzeitig brachten Abweichungen von Red Hats Vorgaben jedoch Probleme mit sich. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen