Emotet, LokiBot und TrickBot machen Unternehmen weltweit noch immer zu schaffen

 

Der Gigamon-Bericht gibt Aufschluss darauf, wie die verbreitetste Malware des Jahres 2018 unerkannt Unternehmensnetzwerke durchwandern konnte.

Laut dem Bericht traten Emotet-Angriffe im November und Dezember 2018 geballt auf. So entfallen 45,9 % der Angriffe der gesamten zweiten Jahreshälfte auf diese beiden Monate.

Emotet ist ein Banking-Trojaner, der Schad-Code in den Protokollstapel eines infizierten Endpunkts injiziert, um sensible Daten bei der übertragung mitzulesen. Die Malware kann sich auch in Software-Module einnisten und von dort aus Denial-of-Service-Angriffe starten und andere Banking-Trojaner nachladen.

Während die Angreifer viele bekannte Angriffstechniken verwendeten, die die Erkennung der Malware recht einfach machen, wurde bei Emotet-Angriffen deutlich mehr abgewandelt und experimentiert.

LokiBot ist ebenfalls ein Trojaner, der auf infizierten Endpunkten heimlich Daten absaugt. Auf diese Malware entfielen 11,6 % der beobachteten Angriffe in der zweiten Jahreshälfte 2018. LokiBot war auch die Malware, die die unterschiedlichsten Arten von Anhängen zur Erstinfektion nutzte.

LokiBot ist Datensauger und Keylogger zugleich. Sein Hauptzweck ist der Diebstahl von Zugangsdaten. über das gesamte Jahr hatte LokiBot eine sehr hohe Erfolgsrate, was wieder einmal zeigt, dass selbst simple Angriffe verheerende Folgen für Unternehmen mit schwacher Netzwerksicherheit haben können.

Laut dem Bericht sind „einfachste Netzwerkmethoden weiterhin verbreitet. Das macht umfassende Transparenz des Netzwerks so wertvoll.“

TrickBot, ein neuerer Banking-Trojaner, ist für 10,4 % der beobachteten Angriffe in der zweiten Jahreshälfte 2018 verantwortlich und bleibt damit gegenüber der ersten Jahreshälfte konstant. Diese Malware wird meist über Spam verbreitet und ist auf Diebstahl von E-Mail-Adressen und Zugangsdaten spezialisiert, wofür sie das Tool Mimikatz einsetzt. Die Malware besteht aus verschiedenen Modulen für jeweils einzelne Aufgaben wie Persistenzgewinnung, Verbreitung, Datenklau usw. Die Module werden dabei von einer Konfigurationsdatei gesteuert, die auch Zeitpunkt und Methode der Installation bestimmt.

Bemerkenswert ist, dass die Macher hinter TrickBot mit der Malware phasenweise experimentiert haben, was zu unterschiedlichen Infektionsmustern führte und somit die Erkennung erschwerte. Laut dem Bericht waren es diese durchgehenden änderungen an der Malware, die TrickBot während des ganzen Jahres zu einer ernsten Bedrohung für Unternehmen machte.

„Emotet, LokiBot und TrickBot können alle als gewöhnliche Massen-Malware betrachtet werden; dennoch sind alle drei extrem erfolgreich“, so der Bericht weiter. „Für Unternehmen bedeuten sie ein beträchtliches Kosten- und Schadensrisiko und erfordern erheblichen Aufwand in der Bekämpfung und Bereinigung. Wenn Sicherheitsbeauftragte von der erschreckenden Erfolgsquote erfahren, legen sie hoffentlich eine durchdachtere, effektivere Sicherheitsstrategie an den Tag.“

Laut dem Bericht weisen alle drei Malware-Familien Netzwerkaktivitäten und Verhaltensweisen auf, die schnell erkannt werden können, sofern volle Netzwerktransparenz und umfassende Kenntnis möglicher Angriffsmethoden gegeben sind.

Malware, die sich im gesamten Netzwerk ausbreitet, stellt seit Jahren eine große Herausforderung dar. Zum Glück gibt es inzwischen Sicherheitsprodukte, die in der Lage sind, genau diese Herausforderung zu meistern. Wenn Sie mehr über dieses Thema erfahren möchten, empfehlen wir Ihnen Bitdefenders kostenloses Whitepaper „Combating Advanced Threats with Network Traffic Analytics“ (auf Englisch).

rn