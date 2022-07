Anfang des Jahres veröffentlichten Unbekannte interne Informationen der Trickbot-Bande, die bisher recht wenig Aufmerksamkeit erhielten. Dabei geben insbesondere die Chat-Protokolle einen unvergleichlichen Einblick in die Welt der Cybercrime. Die Sicherheitsfirma Cyjax hat sie zu einem wirklich lesenswerten Bericht zusammengefasst.

Trickbot ist seit vielen Jahren eine bekannte Größe im Cybercrime-Untergrund, die unter anderem im Schatten von Emotet Millionen absahnte. Der Bericht zeigt spannende Details zu Arbeitsweise und Organisation der Bande. Man erfährt da zum Beispiel, dass es innerhalb der Organisation viele Spezial-Teams wie die Crypter gibt, die sich in eigenen Chat-Gruppen austauschen. Die Crypter bauen ausschließlich Tools, mit denen sich Malware so verschleiern lässt, dass sie von Antiviren- und Sicherheits-Software nicht mehr entdeckt wird.

Viele der Crypter haben eigene Projekte und diskutieren untereinander Ideen und Techniken, wie man diese noch weiter verbessern könnte. Die erfahrenen Kollegen geben den Neulingen Tipps wie den, dass es oftmals besser ist, einfache Verfahren zu nutzen, weil exotische Dinge unnötig Aufmerksamkeit erzeugen.

Die Geburt von Malware

Normalerweise sieht man Schad-Software nur durch die Brille der Forscher, die ein fertiges Exemplar sezieren. In den Chats kann man sie beim Entstehen beobachten. Etwa in Form der technischen Spezifikation des neuen Loaders, die Technik-Chef "silver" dem Entwicklerteam präsentiert. Sie beginnt mit der Vorgabe, dass der Loader mit Windows ab 2003/XP zu funktionieren hat. Ein wichtiger Teil ist, dass der Netzwerkteil modular und komplett austauschbar sein muss und dass das Ausführen des Schadcodes wahlweise Datei-basiert oder rein im Arbeitsspeicher (ohne Datei, "fileless") erfolgen kann.

Doch nicht alles macht Trickbot selbst. Ein Chat beschreibt auch, wie die Trickbot-Gauner planen, sich an einen Open-Source-Entwickler heranzumachen, damit er seinen Tor-Chat-Client in der gewünschten Art und Weise und mit höherer Priorität weiter entwickelt.

Bande mit Management-Struktur

Die Organisation der kriminellen Bande unterscheidet sich kaum von herkömmlichen Unternehmen. Jede Gruppe hat ihren eigenen Teamleader. Über ihnen gibt das Management Strategie und Richtung vor. "Silver" unterstehen Technik und Entwicklung, er hat offenbar die Rolle eines CTOs. Sein Gegenpart "Frances" ist unter anderem für Gehälter und Neueinstellungen zuständig – also klassische Human Resources. Über ihnen thront ein anonymer Chef, der selbst gar nicht in Erscheinung tritt.

Ein Highlight des Berichts ist ein Bewerbungsgespräch für den Posten des zukünftigen Leiters einer neu aufzubauenden Gruppe für OSINT. Dabei geht es darum, im Vorfeld einer Operation möglichst viel über eine Firma herauszufinden. Trickbot-Manager Frances punktet beim noch unsicheren Interessenten nicht etwa mit einem Traumgehalt, sondern mit den Versprechen regelmäßiger, zweiwöchentlicher Zahlungen, Krankengeld und Urlaub. Außerdem hebt er hervor, dass es nach dem ersten Jahr noch ein 13. Monatsgehalt gibt.

Der Cyber-Pate

Der Anwärter kennt übrigens zu diesem Zeitpunkt Trickbot noch nicht. "Google es, dann wirst du es verstehen" erklärt ihm Frances geheimnisvoll. Es ist wirklich höchste Zeit, dass Marlon Brando und Al Pacino Cyber-Nachfolger finden. Wer schon jetzt Einblick in die Arbeitsweise einer professionellen Cybercrime-Bande bekommen möchte, dem sei das etwa 30-seitige PDF zu Who is Trickbot von Cyjax ans Herz gelegt.

Aktuell sieht es übrigens so aus, als habe sich Trickbot nach mehreren Jahren aufgelöst. Das Management ist komplett untergetaucht; die Teamleader gaben schon im März Durchhalteparolen weiter, in denen von einigen Monaten "Urlaub" die Rede war. Genaueres wussten sie offenbar selber nicht. Es sieht jedoch nicht so aus, als würde die Bande einfach wiederauferstehen. Wahrscheinlicher ist es, dass sie die Gelegenheit nutzen, sich neu aufzustellen.

(ju)