Emotet: Trickbot nimmt Bios ins Visier

Die Schadsoftware Trickbot hat einen neuen Trick auf Lager: Die Kriminellen hinter dem Trojaner arbeiten an einer Funktion, mit der sich die Malware in das Bios oder Uefi einnisten und so Persistenz erlangen kann. Da diese im Bootvorgang vor dem Betriebssystem gestartet werden, kann beispielsweise ein neu installiertes Windows direkt wieder infiziert werden.

Trickbot könnte die Funktion jedoch auch nutzen, um die betroffenen Geräte zu bricken, spekulieren die beiden Entdeckerfirmen Advanced Intel und Eclypsium. Auch könnten Microcode-Updates, welche die Prozessoren vor Sicherheitslücken wie Spectre oder Meltdown schützen sollen, blockiert werden. Die neue Funktion nennen sie in Anlehnung an die Schadsoftware Trickboot.

Das im Oktober entdeckte Trickbot-Modul prüft bisher jedoch nur, ob die Firmware auf einem infizierten Rechner vor unautorisierten Änderungen geschützt beziehungsweise mit einem Schreibschutz versehen ist. "Dies schafft die Voraussetzungen dafür, dass die Personen hinter Trickbot aktivere Maßnahmen wie die Installation von Firmware-Implantaten und Hintertüren oder die Zerstörung (Bricking) eines Zielgeräts durchführen können", schreiben die Sicherheitsfirmen. Es sei möglich, dass die Funktion bereits gegen höherwertige Ziele genutzt würde.

Uefi-Rootkits sind bisher selten

Solche Uefi-Rootkit oder -Bootkit genannte Schadsoftware ist bisher selten. Mit Trickbot könnte sich dies jedoch auf einen Schlag ändern. Die modulare Schadsoftware habe eine "robuste Infrastruktur und schnelle Masseneinsatzfähigkeiten", erklären die Sicherheitsfirmen.

Das erste Uefi-Rootkit in freier Wildbahn entdeckte die Sicherheitsfirma Eset 2018. Verantwortlich für die Angriffe soll die Hackergruppe Fancy Bear sein, die dem russischen Militärgeheimdienst GRU zugeordnet wird und auch unter den Namen APT28, Sofacy und Strontium bekannt ist. Die Gruppe soll auch für den Bundestagshack im Jahr 2015 verantwortlich gewesen sein. Gegen die Gruppe wurden bereits EU-Sanktionen ausgesprochen.

Trickbot wird häufig von der Schadsoftware Emotet nachgeladen, um Zugangsdaten auf den befallenen Rechnern abzugreifen. Häufig wird in einem nächsten Schritt eine Ransomware wie Ryuk nachgeladen. Forensiker entdeckten die Schadsoftware beispielsweise auf den Rechnern des Berliner Kammergerichtes, das nach einem Emotet-Befall für Monate arbeitsunfähig war und bis heute mit den Folgen des Angriffs zu kämpfen hat. Erst kürzlich war Microsoft mit Hilfe des Urheberrechts gegen Trickbot vorgegangen.