Seite 2 - Dridex von EvilCorp: Profil eines Serientäters

Lesezeit
3 Minuten
Bis jetzt gelesen

Seite 2 - Dridex von EvilCorp: Profil eines Serientäters

26.05.2021 - 14:00
Veröffentlicht in:
Schwierig zu erkennen
Obwohl bereits so viele Einzelheiten über Dridex bekannt sind, kann es dennoch sehr schwierig sein, die Malware mithilfe einer Sicherheitslösung eindeutig zu identifizieren. Das liegt daran, dass wie bei anderen Malwarefamilien und Varianten ähnliche Methoden Verwendung finden. So teilten sich zum Beispiel Dridex und das kürzlich von polizeilichen Behörden attackierte berüchtigte Botnetz Emotet (ebenfalls ein Banking-Trojaner) teilweise sogar die Proxy-Server. Daher ist es so wichtig, dass die Fachkräfte eines Unternehmens bei einem entdeckten Angriff auf jedes Detail des Ablaufs achten, um eindeutige Schlüsse ziehen zu können. So ist eine Malware am einfachsten über die finale Nutzlast zu identifizieren, die sich meist einer Malwarefamilie genau zuordnen lässt.

Was die Abwehr von Dridex besonders schwierig macht: Solange die Malware sich noch in der Form einer Datei verbirgt, ist sie schwer zu identifizieren. Das liegt daran, dass der initiale Loader, also der Teil der Malware, der den Download der eigentlichen Nutzlast vom C&C-Server anstößt, gezielte Techniken zur Umgehung einer Analyse kennt. Eine dieser Methoden ist die OutputDebugStringW-Funktion: Hier wird eine lange Schleife an bedeutungslosen Debug-Nachrichten generiert, um die eigentliche Funktion hinter einem Schwall von Informationen zu maskieren.

Ebenso versucht die Nutzlast, die eigenen Absichten und Funktionen so gut es geht zu verschleiern. Funktionen im Code sind nicht eindeutig benannt, sondern nutzen Hash-Values und entsprechende Bibliotheken, um die ausgeführten Befehle undurchsichtig zu gestalten und heimlich auszuführen.

Konstante Verbesserung der Malware
Einige Malwarefamilien wie Dridex stellen auch deshalb dauerhaft eine Bedrohung für Unternehmen dar, weil manche Hackergruppen dahinter ihre Schadsoftware stetig verbessern, um Sicherheitsexperten und Schutzmaßnahmen einen Schritt voraus zu sein. EvilCorp erhöhte beispielsweise erst im vergangenen Jahr 2020 die Anzahl der möglichen URLs, von denen Dridex seine Payload herunterladen kann, von einer Adresse auf 50 verschiedene. Zudem waren neuere Varianten der Malware in der Lage, Code-Injection zu nutzen: Hierbei handelt es sich um eine beliebte Hacking-Methode, die die Verarbeitung ungültiger Daten durch das Betriebssystem ausnutzt, um Befehle ausführen zu lassen. Als Einfallstor dient ein anfälliges Programm auf dem System – eine vielversprechende Methode zur erfolgreichen Verbreitung dieser Variante.

Neben den direkten finanziellen Einkünften, die EvilCorp durch Dridex mit Datendiebstahl und Erpressung generierte, haben die Kriminellen zudem ein zweites Standbein entwickelt: die Vermietung des Botnetzes. Gegen Vorauszahlungen im sechsstelligen Bereich und eine anschließende Gewinnbeteiligung offerierte die Hackergruppe ihre Malware und Infrastruktur anderen Hackern über das Darknet. Wie lukrativ das Geschäft für EvilCorp dabei läuft, legen diverse Berichte zu Maksim Yakubets offenbar luxuriösem Lebensstil nahe.

Zusätzlich hat Hackergruppierungen wie EvilCorp die Corona-Krise in die Hände gespielt, da ein Großteil der Belegschaft vieler Unternehmen eilig ins Home Office versetzt wurde. Die IT-Sicherheit der Fernarbeit wurde jedoch selten priorisiert, was zur Folge hatte, dass die Angriffsfläche der Unternehmen sich rasch vergrößerte. Wegen der nun erhöhten Aktivität aller Bedrohungen und insbesondere von Dridex, sahen sich die Justiz-Behörden in den USA gezwungen, einen erneuten Aufruf nach Informationen zu den Köpfen hinter Dridex und EvilCorp zu starten – erneut mit einer Belohnung in Höhe von fünf Millionen US-Dollar.

Den Serientäter aufhalten
Wegen der konstanten Entwicklung von Dridex mit dem Ziel stetiger weiterer Verbesserung und wegen der tiefgreifenden Folgen, die die Covid-19-Krise für die Arbeitswelt zweifelsohne haben wird, dürfen sich Unternehmen nicht ausschließlich auf Soft- und Hardware als Sicherheitsmaßnahmen verlassen – besonders nicht auf althergebrachte. Stattdessen müssen Organisationen ihre Angestellten auf die Gefahren hinweisen, die von infizierten E-Mail-anhängen ausgehen, und ihnen im besten Fall eine Schulung gegen IT-Bedrohungen ermöglichen. So entsteht eine Art von "menschlicher Firewall", die als zusätzliche Verteidigungslinie fungiert.

Hinzukommen sollten moderne Sicherheitslösungen, die mit allen Varianten von IT-Umgebungen umgehen können – Rechenzentrum, Cloud, Multicloud oder Hybrid – und wichtige Prozesse automatisieren, um sie in Echtzeit durchzuführen und auf Bedrohungen zu reagieren. Diese Schutzmaßnahmen lassen sich auch in einer IT-Architektur zusammenfassen, wodurch sich ein umfassender Schutz durch bereits aufeinander abgestimmte Sicherheitslösungen ergibt und sogar Zero-Day-Attacken abgewehrt werden können.

Sicher ist außerdem, dass Dridex nach der mutmaßlichen Zerschlagung des berüchtigten Botnetzes Emotet stärker in den Fokus rücken wird – das gilt für Justiz- und Ermittlungsbehörden ebenso wie für Verantwortliche in der IT-Sicherheit aber auch für kriminelle Vereinigungen und Akteure. EvilCorp wird nun versuchen, das eigene Netzwerk weiter auszubauen und seine Malwarekampagnen zu intensivieren, um den Platz von Emotet einzunehmen. Auf diesen Schritt und die wachsende Bedrohung müssen Unternehmen sowohl ihre Mitarbeiter als auch die eigene IT-Infrastruktur vorbereiten. Wer das versäumt, der wird sich früher oder später selbst auf der langen Liste der Opfer wiederfinden, die der Serientäter Dridex seit mittlerweile sechs Jahren pflegt und stetig erweitert.

Fazit
Von ihren Anfängen als Ableger von ZeuS bis hin zu ihrem heutigen, international bekannten Profil als Serientäter hat die Malwarefamilie hinter Dridex eine rasante Entwicklung genommen – und ein ebenso langes Strafregister an Schäden und Opfern vorzuweisen. Gleichzeitig kletterten die kriminellen Köpfe hinter dem Schädling, die Hackergruppe EvilCorp, die Fahndungslisten der internationalen Ermittlungsbehörden stetig hinauf. Nachdem nun mit dem Emotet-Botnetz einer der größten kriminellen Konkurrenten ausgeschaltet wurde, wird Dridex in die Fußstapfen treten wollen und in Zukunft noch größeres Interesse auslösen – sowohl von Hackern, die die Malware für ihre böswilligen Zwecke einsetzen möchten, als von Seite der Behörden, die versuchen, dem nächsten Serientäter dauerhaft das Handwerk zu legen.


<< Vorherige Seite Seite 2 von 2


ln/Christine Schönig, Regional Director Security Engineering CER, Office of the CTO, bei Check Point

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar

IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.