Hopp til hovedinnholdet
resources

TrickBot: Det mangesidige botnettet

Hva gjør TrickBot-botnettet så farlig? Ved siden av banktrojanerne Emotet, som heldigvis har blitt uskadeliggjort, og Retefe, er TrickBot også en fare for datamaskinen din. TrickBot og botnettet bak skadelig programvare utgjør en utfordring for cybersecurity-spesialister.
TrickBot har blitt brukt av nettkriminelle for å infiltrere andres datamaskiner siden 2016 for å spionere på konfidensielle private data. Ofrene for disse nettangrepene omfatter ikke bare selskaper, men også privatpersoner. Omfanget og egenskapene til skadelig programvare har vokst betydelig siden oppdagelsen i 2016. Fokuset er ikke lenger bare på tyveri av data – TrickBot er nå i stand til å endre nettverkstrafikk og kan spre seg videre. Når skadelig programvare har kommet seg til et system og infisert datamaskinen, åpner TrickBot bakdøren for ytterligere skadelig programvare.

TrickBot er spesielt farlig og skadelig på grunn av evnen til å mutere og de mange programtilleggene den nå har med seg. Som vanlig for skadelig programvare basert på trojanere, er TrickBot en mester i å gjemme seg for offeret. Det kan således bare oppdages og elimineres ved å følge nøye med og bruke den beste sikkerhetsprogramvaren, som for eksempel Kaspersky Anti-Virus.

Hvordan banktrojanere sprer seg

I utgangspunktet kom TrickBot seg ofte inn i systemet gjennom nettfiskings-e-poster. Dette innebærer å sende falske e-poster som ofte ser forbausende ekte ut fra kjente institusjoner og selskaper, som ofte har et vedlegg. Ofre for et TrickBot-angrep blir bedt i e-posten om å åpne vedlegget eller lenken, noe som fører til infeksjon av enheten. Åpning av vedleggene fører til at skadelig programvare lastes ned. En TrickBot-infeksjon kan også forekomme gjennom for eksempel skadelige oppdateringer eller gjennom skadelig programvare som allerede finnes på sluttenheten. Når skadelig programvare har kommet til datamaskinen og er i stand til å lagre brukerens data, er et av hovedmålene å forbli uoppdaget så lenge som mulig.

Hvordan fungerer et TrickBot-angrep?

I et TrickBot-angrep avsluttes først Windows-tjenestene og aktivitetene til Windows Defender eller annen antivirusprogramvare. Forskjellige metoder brukes deretter for å utvide privilegiene. De resulterende administrative rettighetene kan deretter brukes av flere programtillegg, som den skadelige programvaren laster automatisk. Deretter spionerer TrickBot både på systemet og nettverkene og samler inn data fra brukeren. Informasjonen som samles inn av skadelig programvare, blir deretter videresendt til eksterne enheter, eller til nettkriminelle bak angrepet.

Hva er konsekvensene av banktrojanerne for offeret og sluttenheten?

Viruset «Win 32 / TrickBot.AK» forårsaker at data som skal lagres uten brukerens samtykke og spionerer på brukeren av sluttenheten. En mulig måte å komme til dataene på kan for eksempel være ved å vise falske dialogfelter som vises på grunn av skadelig programvare. TrickBot lagrer ikke tastetrykk og tar ikke opp skjermbilder. Trojaneren er i stand til å koble til en ekstern server og tilhører en gruppe automatisert skadelig programvare kalt botnet. TrickBot påvirker ikke den bærbare datamaskinens ytelse og fører ikke til at den ikke svarer på kommandoer. TrickBot kan imidlertid holdes ansvarlig for et DDoS-angrep (nektet tilgang til tjenester). I dette tilfellet fører et stort antall målrettede forespørsler fra et stort antall datamaskiner til forstyrrelse av en tjeneste. Andre egenskaper for skadelig TrickBot-programvare omfatter nedlasting av skadelig programvare på infiserte datamaskiner og å spre seg selv og skape angrepspunkter for hackere.

Slik oppdager du TrickBot og fjerner banktrojanere

For å oppdage en TrickBot-infeksjon kreves årvåkenhet. Mulige tegn på en infeksjon med skadelig programvare kan for eksempel være uautoriserte påloggingsforsøk på nettkontoer. Ofre for et angrep blir noen ganger varslet av en endring i nettverksinfrastrukturen. En senere og fatal indikasjon på en infeksjon med skadelig programvare kan også være en bankoverføring som ble utført uten din deltakelse. Den skadelige programvaren kan skjule seg som en legitim datamaskinprosess eller en vanlig fil. Dette gjør det praktisk talt umulig å oppdage, og sletting av mistenkelige filer kan forårsake uopprettelig skade på datamaskinen. Ettersom TrickBot er en trojaner som stjeler data, må skader repareres så fort som mulig. Antiskadevareprodukter som de fra Kaspersky er den optimale måten å gjøre dette på. Både oppdagelsen av en TrickBot-infeksjon og fjerningen av banktrojaneren er ekstremt tidkrevende.

Stjålne passord – konsekvensene av et TrickBot-angrep

Som allerede nevnt har TrickBot som mål å stjele påloggingsdata . Ved hjelp av stjålne passord forsøker nettkriminelle å komme seg inn på kontoer på nettet. I utgangspunktet ble spesielt finansinstitusjoner som banker ansett som det primære målet for TrickBot-trojanere. Nettkriminelle får uautorisert tilgang til personlige kontoer ved å stjele private påloggingsopplysninger. Disse kan for eksempel brukes til å foreta bankoverføringer. I tillegg til passord og brukernavn er TrickBot også i stand til å få tilgang til nettleserens autofyllinformasjon, samt historikken og lagrede informasjonskapsler.

Typiske konsekvenser av et TrickBot-angrep

Ofre for TrickBot-angrep må vanligvis takle noen typiske konsekvenser. På den ene siden blir kontoene deres overtatt av nettkriminelle. Når dette har skjedd, krever hackerne vanligvis løsepenger for utgivelse av kontoer eller filer. Dessuten kan løsepengevirus spre seg til andre filer på infiserte enheter.

Kamp mot TrickBot: Hvordan du best kan beskytte deg mot et angrep

  • Bruk profesjonell antivirusprogramvare eller en trojanskanner.
  • Vær forsiktig når du sjekker spam-e-post. Avstå fra å åpne mistenkelige eller tvilsomme e-poster eller vedleggene deres. Påpek også til ansatte at de under ingen omstendigheter må gi sitt samtykke til aktivering av makroer.
  • Programvaren på datamaskiner skal alltid være oppdatert.
  • Vær årvåken når du oppdaterer programvare.
  • Bruk offisielle leverandører i stedet for tredjepartsleverandører for programvare, og avvis tilleggspakker når du laster ned.

Til tross for utallige forholdsregler er det alltid en gjenværende risiko, og en trojaner kan infisere datamaskinen din. Glem derfor ikke regelmessige sikkerhetskopier av data.

TrickBot i kombinasjon med annen skadelig programvare

Emotet, TrickBot og Ryuk – en dødelig kombinasjon for dataene dine

Alle gode ting er tre – selv om dette neppe kunne være lenger fra sannheten med kombinasjon av Trickbot, Emotet og Ryuk. Kombinasjonen av disse tre skadelige programmene er spesielt farlig og gjør at skaden forårsaket av et enkelt TrickBot-angrep virker direkte ufarlig. De tre programmene arbeider sammen sømløst og maksimerer dermed skadene. Emotet representerer begynnelsen på angrepet og utfører de klassiske oppgavene til en trojansk hest, og åpner døren til TrickBot og Ryuk og dermed til gjerningspersonene. I neste trinn brukes TrickBot av angriperne for å skaffe informasjon om det infiserte systemet og for å distribuere seg selv i nettverket på en best mulig måte. På det siste trinnet er kryptotrojaneren Ryuk plassert i så mange systemer som mulig og krypterer harddisken, i samsvar med handlingene til løsepengevirus. I tillegg slettes også eventuelle sikkerhetskopier av data.

TrickBot og IcedID: Et spesielt effektivt banktrojanerteam

Dette er ikke den eneste kombinasjonen der TrickBot vises. Kombinasjonen av TrickBot og IcedID er like farlig. Kombinasjonen av disse to banktrojanerne sørger for et enda mer målrettet angrep på bankdata. Den skadelige IcedID-programvaren overføres til offeret via for eksempel nettsøppel, og åpnes. Dette starter nedlastingen av skadelig TrickBot-programvare. TrickBot kan da utføre sine vanlige spionasjeoppgaver og finne ut hva slags økonomisk svindel som kan utføres.

TrickBot og Windows Defender

Skadelig programvare som TrickBot har i mellomtiden funnet måter å unndra seg deteksjon fra Windows Defender. Det som er spesielt med TrickBot er imidlertid at den ikke bare er i stand til å operere utenfor radaren, men til og med går så langt som å deaktivere Windows Defender helt.

Sammendrag

TrickBot utgjør en trussel mot datamaskinen din på grunn av hovedaktiviteten: å stjele brukerinformasjon. I tillegg gjør dens mutabilitet og mange programtillegg den til en upopulær gjest på sluttenheten din. TrickBot-angrep er spesielt ødeleggende når de oppstår i forbindelse med annen skadelig programvare. Dette gjør det enda viktigere å oppdage den skadelige programvaren så snart som mulig med utmerket sikkerhetsprogramvare og høy oppmerksomhet. Dette kan forhindre at døren åpnes for ytterligere skadelig programvare.

TrickBot: Det mangesidige botnettet

Lær hvordan du beskytter deg mot TrickBot-banktrojaneren. ✓ Gjenkjenn TrickBot ✓ Unngå gjenbruk av stjålne passord ✓ Fjern virus
Kaspersky Logo