Auf dem Blog des neu geschaffenen Security-Labors SentinelLabs steht es in großen, schwarzen Lettern geschrieben:
„Top-Tier Russian Organized Cybercrime Group unveils Fileless Stealthy ‚PowerTrick‘ Backdoor for High-Value Targets“
Zusammengefasst warnen die Sicherheitsexperten von SentinelOne vor einer massiven Bedrohung namens PowerTrick, Dieser Backdoor-Trojaner wird der von Russland aus operierenden Hackergruppe namens TrickBot zugeordnet. Grund genug für mich, die möglichen Konsequenzen eines solchen Malware-Angriffs genauer zu beleuchten. Und wie sich solch ein Szenario verhindern lässt, erfahren Sie hier auch.
Vorgehensweise: Unbemerkte Angriffe, und das über Wochen und Monate
Im Gegensatz zu anderen Backdoor-Trojanern wie dem quelloffenen PowerShell Empire ist PowerTrick in der Lage, sein Tun und seine Existenz relativ lange zu verschleiern. Damit operiert er kaum wahrnehmbar im Hintergrund, bis er dann „zuschlägt“ und aktiv wird. Das macht PowerTrick so gefährlich.
PowerTrick ist „legitimer“ Nachfolger des Backdoor-Trojaners Dyre, der vornehmlich Banken und ähnliche Organisationen bis 2015 unsicher machte. PowerTrick beherrscht viele Malware-Spielarten: Das reicht vom Ausspionieren kompletter Netzwerke bis hin zum Sammeln riesiger Datenmengen. Hierzu geht PowerTrick in zwei Schritten vor: Sobald sich der Backdoor-Trojaner unbemerkt auf dem Zielrechner einnisten konnte, wird ein zweiter, größerer Backdoor -Trojaner auf die Maschine „nachgeladen“, wodurch PowerTrick erst sein volles Schadpotential entfalten kann.
Sobald das angegriffene Unternehmen von PowerTrick ausführlich ausspioniert wurde, beginnt der eigentliche Angriff, nämlich das Verschlüsseln der Daten, die PowerTrick über das gesamte Unternehmensnetzwerk hinweg finden konnte. Sobald das geschehen ist, wird die Firma von den TrickBot-Hackern um große Summen erpresst. Gegenstand der Erpressung ist die Freigabe der verschlüsselten Daten.
[irp posts=“158148″ ]
Vornehmliche Ziele: Banken & Finanzdienstleister
Neben Banken und ähnlichen Organisationen sind auch Finanzdienstleister und andere Firmen betroffen, in denen große monetäre Transaktionen im Vordergrund stehen. Denn genau darauf hat es TrickBot abgesehen: Das Ausspionieren von Dokumenten und Daten, die für das angegriffene Unternehmen von größtem Wert sind. Dazu gehören unter anderem Zugangsdaten zu E-Banking-Konten.
Mögliche Schutzmaßnahmen: Anti-Malware-Software, regelmäßige Backups und EDR-Lösungen
Aufgrund seiner perfiden Vorgehensweise ist es nicht trivial, PowerTrick von Rechnern und aus Netzwerken vollständig fernzuhalten. Allerdings gibt es empfehlenswerte Sicherheitsmaßnahmen, die helfen können, sich vor Angriffen à la PowerTrick zu schützen:
1. Initial öffnen Backdoor-Trojaner wie PowerTrick das Einfallstor in ein Unternehme mithilfe eines Trojaners wie Emotet, und dies meist über E-Mails samt Anhang. Hierauf sollte man also sein Hauptaugenmerk legen wie das Installieren von Schutzsoftware und das regelmäßige Aufklären der Mitarbeiter, nicht jeden beliebigen Anhang unbekümmert zu öffnen.
[irp posts=“158956″ ]
2. Eine Datensicherung sollte regelmäßig erfolgen, da so im Falle eines Trojaner-Angriffs die verschlüsselten Daten wiederhergestellt werden können. Diese Datenbackups sollten sich auf keinen Fall im selben Netzwerk wie die anzugreifenden Rechner befinden. Denn auch Backups können verschlüsselt werden.
3. Aufgrund ihrer perfiden Angriffsmethoden lassen sich Backdoor-Trojaner wie PowerTrick nicht immer vollständig von Anti-Malware-Software erkennen. Daher sollten vor allem im Visier stehende Finanzinstitute auf zuverlässige Methoden zurückgreifen. Dazu gehören EDR-Lösungen (Endpoint Detection & Response), mit denen sämtliche Server und Rechner permanent überwacht werden – und das immer öfter mithilfe der Künstlichen Intelligenz. Nur so können PowerTrick & Co. zuverlässig und möglichst schnell entdeckt und eliminiert werden.
Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne verfasst. Bei der Ausgestaltung der Inhalte hatte ich freie Hand.