Business Security, Mobile Security, Schutzprogramme, Sicher & Anonym, Verschlüsselung & Datensicherheit

Trickbot droht nun ebenfalls mit Veröffentlichung

Die mit Emotet verbundene Trickbot-Bande setzt eine neue Ransomware ein und betreibt jetzt auch eine eigene Leak-Plattform.

Die in den letzten Jahren erfolgreichste Cybercrime-Bande hat mit der Ransomware Conti ein neues Tool im Einsatz und passt seine Vorgehensweise dem von der Konkurrenz gesetzten Trend an. So kopieren die Trickbot-Gauner offenbar jetzt auch Daten der Opfer und drohen mit Veröffentlichung. Auf der speziell dafür geschaffenen Leak-Plattform gibt es auch schon einen prominenten Namen.

Der für Schlagzeilen sorgende Emotet-Schädling installiert typischerweise den Trickbot-Trojaner auf den infizierten Systemen. Dessen Macher ziehen danach die eigentliche Erpressung durch. Bisher verschlüsselten sie dazu mit der Ransomware Ryuk wichtige Daten und forderten Lösegeld für die Herausgabe der Schlüssel, mit denen das Opfer wieder an seine Daten kommen kann.

Die Conti-Ransomware

Seit einigen Wochen setzt die Trickbot-Gang offenbar vermehrt statt Ryuk dessen Nachfolger Conti ein. Der glänzt durch höhere Geschwindigkeit und Zuverlässigkeit durch Verwendung von Multi-Threading und den Windows Restart Manager. Die Zugehörigkeit zur Trickbot-Gang oder zumindest einer Splittergrupe schließen Forscher wie Vitali Kremez von Advanced Intel aus Ähnlichkeiten im Code und gemeinsam genutzter Infrastruktur.

Doch Conti bringt einen weiteren neuen Dreh ins dreckige Erpressungsgeschäft der Trickbot-Bande. Wie zuvor bereits Ragnar Locker, Maze und andere Cybercrime-Gangs kopieren sie jetzt Daten von den infizierten Systemen und drohen mit deren Veröffentlichung. Offenbar haben sie dazu sogar eine eigene Leak-Plattform geschaffen. Auf der finden sich auch bereits erste prominente Namen von Opfern.

Allerdings ist dabei Vorsicht geboten. So ist der jüngste Eintrag zwar mit "The Volkswagen Group" betitelt. Die veröffentlichten Dokumente stammen jedoch lediglich von einem einzelnen VW-Händler. Es gab bereits andere Fälle, in denen Conti den Namen der Mutter-Firma missbrauchte, um den Vorfall größer erschienen zu lassen, erklärt Threat Analyst von Emsisoft Brett Callow gegenüber heise Security. Dass der gesamte VW-Konzern betroffen wäre, wie es der Seitentitel suggeriert, lässt sich daraus jedenfalls nicht ableiten.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben