TrickBot
Was ist TrickBot?
TrickBotModularer Banking-Trojaner und Post-Exploitation-Framework des WIZARD-SPIDER-Clusters, der den Weg fuer die Ransomware Ryuk, Conti und Diavol ebnete.
TrickBot tauchte 2016 als Dyre-Nachfolger auf und entwickelte sich rasch vom Banking-Trojaner zu einem vielseitigen Post-Exploitation-Framework. Betrieben vom kriminellen Cluster WIZARD SPIDER, lieferte er Module fuer Credential-Diebstahl, Browser-Injection, Active-Directory-Aufklaerung, Lateral Movement ueber SMB und SOCKS-Proxies. Er war Hauptloader fuer Ryuk, Conti und spaeter Diavol und wurde 2018-2020 eng mit Emotet-Infektionen in Verbindung gebracht. Microsofts Defender-Team und das US Cyber Command stoerten im Oktober 2020 die Infrastruktur; die Conti-Leaks 2022 enthuellten tiefe Verbindungen zwischen TrickBot-Entwicklern und der Conti-Operation. Spaeter entstand aus der Codebasis Bumblebee.
● Beispiele
- 01
TrickBot zieht Domain-Admin-Credentials vom Laptop eines Buchhalters und liefert sie Betreibern, die Conti einspielen.
- 02
Ein Incident-Response-Team findet TrickBots pwgrab64-Modul im Speicher neben Ryuk-Komponenten auf einem Domain Controller.
● Häufige Fragen
Was ist TrickBot?
Modularer Banking-Trojaner und Post-Exploitation-Framework des WIZARD-SPIDER-Clusters, der den Weg fuer die Ransomware Ryuk, Conti und Diavol ebnete. Es gehört zur Kategorie Schadsoftware der Cybersicherheit.
Was bedeutet TrickBot?
Modularer Banking-Trojaner und Post-Exploitation-Framework des WIZARD-SPIDER-Clusters, der den Weg fuer die Ransomware Ryuk, Conti und Diavol ebnete.
Wie funktioniert TrickBot?
TrickBot tauchte 2016 als Dyre-Nachfolger auf und entwickelte sich rasch vom Banking-Trojaner zu einem vielseitigen Post-Exploitation-Framework. Betrieben vom kriminellen Cluster WIZARD SPIDER, lieferte er Module fuer Credential-Diebstahl, Browser-Injection, Active-Directory-Aufklaerung, Lateral Movement ueber SMB und SOCKS-Proxies. Er war Hauptloader fuer Ryuk, Conti und spaeter Diavol und wurde 2018-2020 eng mit Emotet-Infektionen in Verbindung gebracht. Microsofts Defender-Team und das US Cyber Command stoerten im Oktober 2020 die Infrastruktur; die Conti-Leaks 2022 enthuellten tiefe Verbindungen zwischen TrickBot-Entwicklern und der Conti-Operation. Spaeter entstand aus der Codebasis Bumblebee.
Wie schützt man sich gegen TrickBot?
Schutzmaßnahmen gegen TrickBot kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für TrickBot?
Übliche alternative Bezeichnungen: WIZARD SPIDER, TrickLoader.
● Verwandte Begriffe
- malware№ 084
Banking-Trojaner
Schadsoftware, die Online-Banking-Zugangsdaten stiehlt und betrügerische Transaktionen autorisiert, meist über Web-Injects, Form-Grabbing oder Overlays.
- malware№ 954
Ryuk-Ransomware
Gezielte Ransomware-Familie, ab 2018 von WIZARD SPIDER betrieben, die ueber TrickBot-Intrusionen hohe Loesegelder von Unternehmen, Krankenhaeusern und Kommunen erpresste.
- malware№ 377
Emotet
Modularer Banking-Trojaner, der sich zum Malware-as-a-Service-Loader entwickelte, Ransomware-Affiliates belieferte und im Januar 2021 international zerschlagen wurde.
- malware№ 621
Loader
Schadsoftware, die die Umgebung vorbereitet und weitere Nutzlasten — oft direkt im Speicher — für die nächste Phase eines Angriffs lädt.