Emotet: Trickbot nimmt Bios ins Visier

Die Schadsoftware bereitet die Infizierung des Bios oder Uefi vor. Damit könnte sie nicht nur zum Rootkit werden, sondern auch befallene Geräte zerstören.

Artikel veröffentlicht am ,
Die modulare Schadsoftware Trickbot hat einige Tricks auf Lager.
Die modulare Schadsoftware Trickbot hat einige Tricks auf Lager. (Bild: Eclypsium)

Die Schadsoftware Trickbot hat einen neuen Trick auf Lager: Die Kriminellen hinter dem Trojaner arbeiten an einer Funktion, mit der sich die Malware in das Bios oder Uefi einnisten und so Persistenz erlangen kann. Da diese im Bootvorgang vor dem Betriebssystem gestartet werden, kann beispielsweise ein neu installiertes Windows direkt wieder infiziert werden.

Stellenmarkt
  1. Process and Business Intelligence Engineer (m/f/d)
    Advantest Europe GmbH, Böblingen
  2. IT-Systemadministrator / Fachinformatiker für Systemintegration (m/w/d)
    andagon people GmbH, Köln
Detailsuche

Trickbot könnte die Funktion jedoch auch nutzen, um die betroffenen Geräte zu bricken, spekulieren die beiden Entdeckerfirmen Advanced Intel und Eclypsium. Auch könnten Microcode-Updates, welche die Prozessoren vor Sicherheitslücken wie Spectre oder Meltdown schützen sollen, blockiert werden. Die neue Funktion nennen sie in Anlehnung an die Schadsoftware Trickboot.

Das im Oktober entdeckte Trickbot-Modul prüft bisher jedoch nur, ob die Firmware auf einem infizierten Rechner vor unautorisierten Änderungen geschützt beziehungsweise mit einem Schreibschutz versehen ist. "Dies schafft die Voraussetzungen dafür, dass die Personen hinter Trickbot aktivere Maßnahmen wie die Installation von Firmware-Implantaten und Hintertüren oder die Zerstörung (Bricking) eines Zielgeräts durchführen können", schreiben die Sicherheitsfirmen. Es sei möglich, dass die Funktion bereits gegen höherwertige Ziele genutzt würde.

Uefi-Rootkits sind bisher selten

Solche Uefi-Rootkit oder -Bootkit genannte Schadsoftware ist bisher selten. Mit Trickbot könnte sich dies jedoch auf einen Schlag ändern. Die modulare Schadsoftware habe eine "robuste Infrastruktur und schnelle Masseneinsatzfähigkeiten", erklären die Sicherheitsfirmen.

Golem Akademie
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    01.-03.08.2022, virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Das erste Uefi-Rootkit in freier Wildbahn entdeckte die Sicherheitsfirma Eset 2018. Verantwortlich für die Angriffe soll die Hackergruppe Fancy Bear sein, die dem russischen Militärgeheimdienst GRU zugeordnet wird und auch unter den Namen APT28, Sofacy und Strontium bekannt ist. Die Gruppe soll auch für den Bundestagshack im Jahr 2015 verantwortlich gewesen sein. Gegen die Gruppe wurden bereits EU-Sanktionen ausgesprochen.

Trickbot wird häufig von der Schadsoftware Emotet nachgeladen, um Zugangsdaten auf den befallenen Rechnern abzugreifen. Häufig wird in einem nächsten Schritt eine Ransomware wie Ryuk nachgeladen. Forensiker entdeckten die Schadsoftware beispielsweise auf den Rechnern des Berliner Kammergerichtes, das nach einem Emotet-Befall für Monate arbeitsunfähig war und bis heute mit den Folgen des Angriffs zu kämpfen hat. Erst kürzlich war Microsoft mit Hilfe des Urheberrechts gegen Trickbot vorgegangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


x2k 04. Dez 2020

Bei den meisten. Mainboards ist das bios oder uefi auf einem flashbaustein mit spi...

FreiGeistler 04. Dez 2020

Oder kann man diese nicht als Rootkit/Bootkit zählen?

scheuerseife 04. Dez 2020

Für Abhilfe oder zur Vorrausschauenden Vorsicht hätte man den Artikel mit 1-3 Tipps...



Aktuell auf der Startseite von Golem.de
Sicherheitslücke
Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist

Forschern ist es gelungen, eine Schadsoftware auf ausgeschalteten iPhones mit vermeintlich leerem Akku auszuführen. Denn ganz aus sind diese nicht.

Sicherheitslücke: Die Schadsoftware, die auf ausgeschalteten iPhones aktiv ist
Artikel
  1. Bundeswehr: Das Heer will sich nicht abhören lassen
    Bundeswehr
    Das Heer will sich nicht abhören lassen

    Um sicher zu kommunizieren, halten die Landstreitkräfte in NATO-Missionen angeblich ihre Panzer an und verabreden sich "von Turm zu Turm".
    Ein Bericht von Matthias Monroy

  2. Einstieg in Linux mit drei Online-Workshops
     
    Einstieg in Linux mit drei Online-Workshops

    Linux-Systeme verstehen und härten sowie die Linux-Shell programmieren - das bieten drei praxisnahe Online-Workshops der Golem Akademie.
    Sponsored Post von Golem Akademie

  3. Milliarden-Übernahme: Musk spricht von günstigerem Übernahmeangebot für Twitter
    Milliarden-Übernahme  
    Musk spricht von günstigerem Übernahmeangebot für Twitter

    Mit Blick auf die Zählung von Spam-Konten bei Twitter hat Elon Musk gefragt, ob die mehr als 200 Millionen Twitter-Nutzer angerufen worden seien.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 400€ Rabatt auf Gaming-Stühle • AOC G3 Gaming-Monitor 34" UWQHD 165 Hz günstig wie nie: 404€ • Xbox Series X bestellbar • MindStar (u.a. Gigabyte RTX 3090 24GB 1.699€) • LG OLED TV (2021) 65" 120 Hz 1.499€ statt 2.799€ [Werbung]
    •  /