Fachartikel

Seite 2 - Dridex von EvilCorp: Profil eines Serientäters

Schwierig zu erkennen
Obwohl bereits so viele Einzelheiten über Dridex bekannt sind, kann es dennoch sehr schwierig sein, die Malware mithilfe einer Sicherheitslösung eindeutig zu identifizieren. Das liegt daran, dass wie bei anderen Malwarefamilien und Varianten ähnliche Methoden Verwendung finden. So teilten sich zum Beispiel Dridex und das kürzlich von polizeilichen Behörden attackierte berüchtigte Botnetz Emotet (ebenfalls ein Banking-Trojaner) teilweise sogar die Proxy-Server. Daher ist es so wichtig, dass die Fachkräfte eines Unternehmens bei einem entdeckten Angriff auf jedes Detail des Ablaufs achten, um eindeutige Schlüsse ziehen zu können. So ist eine Malware am einfachsten über die finale Nutzlast zu identifizieren, die sich meist einer Malwarefamilie genau zuordnen lässt.

Was die Abwehr von Dridex besonders schwierig macht: Solange die Malware sich noch in der Form einer Datei verbirgt, ist sie schwer zu identifizieren. Das liegt daran, dass der initiale Loader, also der Teil der Malware, der den Download der eigentlichen Nutzlast vom C&C-Server anstößt, gezielte Techniken zur Umgehung einer Analyse kennt. Eine dieser Methoden ist die OutputDebugStringW-Funktion: Hier wird eine lange Schleife an bedeutungslosen Debug-Nachrichten generiert, um die eigentliche Funktion hinter einem Schwall von Informationen zu maskieren.

Ebenso versucht die Nutzlast, die eigenen Absichten und Funktionen so gut es geht zu verschleiern. Funktionen im Code sind nicht eindeutig benannt, sondern nutzen Hash-Values und entsprechende Bibliotheken, um die ausgeführten Befehle undurchsichtig zu gestalten und heimlich auszuführen.
Konstante Verbesserung der Malware
Einige Malwarefamilien wie Dridex stellen auch deshalb dauerhaft eine Bedrohung für Unternehmen dar, weil manche Hackergruppen dahinter ihre Schadsoftware stetig verbessern, um Sicherheitsexperten und Schutzmaßnahmen einen Schritt voraus zu sein. EvilCorp erhöhte beispielsweise erst im vergangenen Jahr 2020 die Anzahl der möglichen URLs, von denen Dridex seine Payload herunterladen kann, von einer Adresse auf 50 verschiedene. Zudem waren neuere Varianten der Malware in der Lage, Code-Injection zu nutzen: Hierbei handelt es sich um eine beliebte Hacking-Methode, die die Verarbeitung ungültiger Daten durch das Betriebssystem ausnutzt, um Befehle ausführen zu lassen. Als Einfallstor dient ein anfälliges Programm auf dem System – eine vielversprechende Methode zur erfolgreichen Verbreitung dieser Variante.

Neben den direkten finanziellen Einkünften, die EvilCorp durch Dridex mit Datendiebstahl und Erpressung generierte, haben die Kriminellen zudem ein zweites Standbein entwickelt: die Vermietung des Botnetzes. Gegen Vorauszahlungen im sechsstelligen Bereich und eine anschließende Gewinnbeteiligung offerierte die Hackergruppe ihre Malware und Infrastruktur anderen Hackern über das Darknet. Wie lukrativ das Geschäft für EvilCorp dabei läuft, legen diverse Berichte zu Maksim Yakubets offenbar luxuriösem Lebensstil nahe.

Zusätzlich hat Hackergruppierungen wie EvilCorp die Corona-Krise in die Hände gespielt, da ein Großteil der Belegschaft vieler Unternehmen eilig ins Home Office versetzt wurde. Die IT-Sicherheit der Fernarbeit wurde jedoch selten priorisiert, was zur Folge hatte, dass die Angriffsfläche der Unternehmen sich rasch vergrößerte. Wegen der nun erhöhten Aktivität aller Bedrohungen und insbesondere von Dridex, sahen sich die Justiz-Behörden in den USA gezwungen, einen erneuten Aufruf nach Informationen zu den Köpfen hinter Dridex und EvilCorp zu starten – erneut mit einer Belohnung in Höhe von fünf Millionen US-Dollar.

Den Serientäter aufhalten
Wegen der konstanten Entwicklung von Dridex mit dem Ziel stetiger weiterer Verbesserung und wegen der tiefgreifenden Folgen, die die Covid-19-Krise für die Arbeitswelt zweifelsohne haben wird, dürfen sich Unternehmen nicht ausschließlich auf Soft- und Hardware als Sicherheitsmaßnahmen verlassen – besonders nicht auf althergebrachte. Stattdessen müssen Organisationen ihre Angestellten auf die Gefahren hinweisen, die von infizierten E-Mail-anhängen ausgehen, und ihnen im besten Fall eine Schulung gegen IT-Bedrohungen ermöglichen. So entsteht eine Art von "menschlicher Firewall", die als zusätzliche Verteidigungslinie fungiert.

Hinzukommen sollten moderne Sicherheitslösungen, die mit allen Varianten von IT-Umgebungen umgehen können – Rechenzentrum, Cloud, Multicloud oder Hybrid – und wichtige Prozesse automatisieren, um sie in Echtzeit durchzuführen und auf Bedrohungen zu reagieren. Diese Schutzmaßnahmen lassen sich auch in einer IT-Architektur zusammenfassen, wodurch sich ein umfassender Schutz durch bereits aufeinander abgestimmte Sicherheitslösungen ergibt und sogar Zero-Day-Attacken abgewehrt werden können.

Sicher ist außerdem, dass Dridex nach der mutmaßlichen Zerschlagung des berüchtigten Botnetzes Emotet stärker in den Fokus rücken wird – das gilt für Justiz- und Ermittlungsbehörden ebenso wie für Verantwortliche in der IT-Sicherheit aber auch für kriminelle Vereinigungen und Akteure. EvilCorp wird nun versuchen, das eigene Netzwerk weiter auszubauen und seine Malwarekampagnen zu intensivieren, um den Platz von Emotet einzunehmen. Auf diesen Schritt und die wachsende Bedrohung müssen Unternehmen sowohl ihre Mitarbeiter als auch die eigene IT-Infrastruktur vorbereiten. Wer das versäumt, der wird sich früher oder später selbst auf der langen Liste der Opfer wiederfinden, die der Serientäter Dridex seit mittlerweile sechs Jahren pflegt und stetig erweitert.

Fazit
Von ihren Anfängen als Ableger von ZeuS bis hin zu ihrem heutigen, international bekannten Profil als Serientäter hat die Malwarefamilie hinter Dridex eine rasante Entwicklung genommen – und ein ebenso langes Strafregister an Schäden und Opfern vorzuweisen. Gleichzeitig kletterten die kriminellen Köpfe hinter dem Schädling, die Hackergruppe EvilCorp, die Fahndungslisten der internationalen Ermittlungsbehörden stetig hinauf. Nachdem nun mit dem Emotet-Botnetz einer der größten kriminellen Konkurrenten ausgeschaltet wurde, wird Dridex in die Fußstapfen treten wollen und in Zukunft noch größeres Interesse auslösen – sowohl von Hackern, die die Malware für ihre böswilligen Zwecke einsetzen möchten, als von Seite der Behörden, die versuchen, dem nächsten Serientäter dauerhaft das Handwerk zu legen.


<< Vorherige Seite Seite 2 von 2
26.05.2021/ln/Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point

Nachrichten

Zugriff auf VeraCrypt-Daten [15.06.2021]

ElcomSoft hat den Forensic Disk Decryptor aktualisiert. Mit diesem Update bietet das Tool Unterstützung für die neuesten Versionen von VeraCrypt, sodass Nutzer die On-the-Fly-Schlüssel für die Verschlüsselung aus dem RAM-Speicher des Computers extrahieren können, um VeraCrypt-geschützte Datenträger sofort bereitzustellen oder zu entschlüsseln, ohne Passwortangriffe auszuführen. [mehr]

Gravierende Sicherheitslücke in Teams geschlossen [15.06.2021]

Tenable hat Details zu einer schwerwiegenden Sicherheitslücke in Microsoft Teams bekanntgegeben, die vom Zero-Day-Research-Team des Unternehmens entdeckt wurde. Durch den Missbrauch der Power-Apps-Funktionalität konnten Angreifer dauerhaften Lese- und Schreibzugriff auf E-Mails, Teams-Chats, OneDrive, Sharepoint und weitere Dienste eines Opfers erlangen. [mehr]

Tipps & Tools

Kubernetes-Backup erstellen [23.04.2021]

Das Containermanagement-Tool Kubernetes hat sich in den letzten Jahren zum De-Facto-Standard beim Deployment von Applikationen entwickelt – lokal und in der Cloud. Im Betrieb speichert Kubernetes alle Clusterdaten inklusive der Ressourcenspezifikationen in "etcd", einem verteilten Key-Value-Store. Daraus ergibt sich logischerweise, dass etcd als Schlüsselkomponente unter allen Umständen Teil des Backups sein muss. Das freie Werkzeug "KubeDR" will dies erledigen. [mehr]

Vorschau Mai 2021: Hybrid Cloud [19.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Buchbesprechung

Noch analog oder lebst du schon?

von Rolf Drechsler und Jannis Stoppe

Anzeigen