Cybercrime: Trickbot droht nun ebenfalls mit Veröffentlichung

Die mit Emotet verbundene Trickbot-Bande setzt eine neue Ransomware ein und betreibt jetzt auch eine eigene Leak-Plattform.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 17 Beiträge
Cybercrime: Trickbot droht nun ebenfalls mit Veröffentlichung

(Bild: Jozsef Bagota/Shutterstock.com)

Von
  • Jürgen Schmidt

Die in den letzten Jahren erfolgreichste Cybercrime-Bande hat mit der Ransomware Conti ein neues Tool im Einsatz und passt seine Vorgehensweise dem von der Konkurrenz gesetzten Trend an. So kopieren die Trickbot-Gauner offenbar jetzt auch Daten der Opfer und drohen mit Veröffentlichung. Auf der speziell dafür geschaffenen Leak-Plattform gibt es auch schon einen prominenten Namen.

Mit bis zu 32 Threads verschlüsselt Conti die Daten seines Opfers.

(Bild: Bleeping Computer)

Der für Schlagzeilen sorgende Emotet-Schädling installiert typischerweise den Trickbot-Trojaner auf den infizierten Systemen. Dessen Macher ziehen danach die eigentliche Erpressung durch. Bisher verschlüsselten sie dazu mit der Ransomware Ryuk wichtige Daten und forderten Lösegeld für die Herausgabe der Schlüssel, mit denen das Opfer wieder an seine Daten kommen kann (siehe: Emotet, Trickbot, Ryuk – ein explosiver Malware-Cocktail).

Seit einigen Wochen setzt die Trickbot-Gang offenbar vermehrt statt Ryuk dessen Nachfolger Conti ein. Der glänzt durch höhere Geschwindigkeit und Zuverlässigkeit durch Verwendung von Multi-Threading und den Windows Restart Manager, erklärt Brian Baskin von Carbon Black in einer ersten Analyse. Die Zugehörigkeit zur Trickbot-Gang oder zumindest einer Splittergrupe schließen Forscher wie Vitali Kremez von Advanced Intel aus Ähnlichkeiten im Code und gemeinsam genutzter Infrastruktur.

Die Erpresserbande hinter Conti betreibt eine eigene Leak-Plattform, auf der sie Daten der Opfer veröffentlichen.

(Bild: Screenshot)

Doch Conti bringt einen weiteren neuen Dreh ins dreckige Erpressungsgeschäft der Trickbot-Bande. Wie zuvor bereits Ragnar Locker, Maze und andere Cybercrime-Gangs kopieren sie jetzt Daten von den infizierten Systemen und drohen mit deren Veröffentlichung. Offenbar haben sie dazu sogar eine eigene Leak-Plattform geschaffen. Auf der finden sich auch bereits erste prominente Namen von Opfern.

Allerdings ist dabei Vorsicht geboten. So ist der jüngste Eintrag zwar mit "The Volkswagen Group" betitelt. Die veröffentlichten Dokumente stammen jedoch lediglich von einem einzelnen VW-Händler. Es gab bereits andere Fälle, in denen Conti den Namen der Mutter-Firma missbrauchte, um den Vorfall größer erschienen zu lassen, erklärt Threat Analyst von Emsisoft Brett Callow gegenüber heise Security. Dass der gesamte VW-Konzern betroffen wäre, wie es der Seitentitel suggeriert, lässt sich daraus jedenfalls nicht ableiten.

Und es kommt noch dicker: Es gibt auch erste Anzeichen dafür, dass die Trickbot-Gang mit dem Maze-Kartell zusammenarbeitet. Unter dieser großspurigen Bezeichnung kooperieren mit Maze, Ragnar Locker und Lockbit bereits drei Cybercrime-Banden. Und jetzt finden sich auch bereits einzelne Datensätze von Erpressungsopfern parallel auf den Leak-Plattformen von Maze und Trickbot. Wie weit diese Kooperation geht, ist allerdings derzeit noch nicht bekannt.

Mehr zur Vorgehensweise der Cybercrime-Gangs erklärt der Artikel

(ju)