• IT-Karriere:
  • Services:

Emotet: Trickbot nimmt Bios ins Visier

Die Schadsoftware bereitet die Infizierung des Bios oder Uefi vor. Damit könnte sie nicht nur zum Rootkit werden, sondern auch befallene Geräte zerstören.

Artikel veröffentlicht am ,
Die modulare Schadsoftware Trickbot hat einige Tricks auf Lager.
Die modulare Schadsoftware Trickbot hat einige Tricks auf Lager. (Bild: Eclypsium)

Die Schadsoftware Trickbot hat einen neuen Trick auf Lager: Die Kriminellen hinter dem Trojaner arbeiten an einer Funktion, mit der sich die Malware in das Bios oder Uefi einnisten und so Persistenz erlangen kann. Da diese im Bootvorgang vor dem Betriebssystem gestartet werden, kann beispielsweise ein neu installiertes Windows direkt wieder infiziert werden.

Stellenmarkt
  1. Hays AG, Ansbach
  2. Hessisches Ministerium der Finanzen, Wiesbaden

Trickbot könnte die Funktion jedoch auch nutzen, um die betroffenen Geräte zu bricken, spekulieren die beiden Entdeckerfirmen Advanced Intel und Eclypsium. Auch könnten Microcode-Updates, welche die Prozessoren vor Sicherheitslücken wie Spectre oder Meltdown schützen sollen, blockiert werden. Die neue Funktion nennen sie in Anlehnung an die Schadsoftware Trickboot.

Das im Oktober entdeckte Trickbot-Modul prüft bisher jedoch nur, ob die Firmware auf einem infizierten Rechner vor unautorisierten Änderungen geschützt beziehungsweise mit einem Schreibschutz versehen ist. "Dies schafft die Voraussetzungen dafür, dass die Personen hinter Trickbot aktivere Maßnahmen wie die Installation von Firmware-Implantaten und Hintertüren oder die Zerstörung (Bricking) eines Zielgeräts durchführen können", schreiben die Sicherheitsfirmen. Es sei möglich, dass die Funktion bereits gegen höherwertige Ziele genutzt würde.

Uefi-Rootkits sind bisher selten

Solche Uefi-Rootkit oder -Bootkit genannte Schadsoftware ist bisher selten. Mit Trickbot könnte sich dies jedoch auf einen Schlag ändern. Die modulare Schadsoftware habe eine "robuste Infrastruktur und schnelle Masseneinsatzfähigkeiten", erklären die Sicherheitsfirmen.

Das erste Uefi-Rootkit in freier Wildbahn entdeckte die Sicherheitsfirma Eset 2018. Verantwortlich für die Angriffe soll die Hackergruppe Fancy Bear sein, die dem russischen Militärgeheimdienst GRU zugeordnet wird und auch unter den Namen APT28, Sofacy und Strontium bekannt ist. Die Gruppe soll auch für den Bundestagshack im Jahr 2015 verantwortlich gewesen sein. Gegen die Gruppe wurden bereits EU-Sanktionen ausgesprochen.

Trickbot wird häufig von der Schadsoftware Emotet nachgeladen, um Zugangsdaten auf den befallenen Rechnern abzugreifen. Häufig wird in einem nächsten Schritt eine Ransomware wie Ryuk nachgeladen. Forensiker entdeckten die Schadsoftware beispielsweise auf den Rechnern des Berliner Kammergerichtes, das nach einem Emotet-Befall für Monate arbeitsunfähig war und bis heute mit den Folgen des Angriffs zu kämpfen hat. Erst kürzlich war Microsoft mit Hilfe des Urheberrechts gegen Trickbot vorgegangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 8,49€
  2. (u. a. Overcooked! 2 für 11,50€, The Survivalists für 18,74€, Worms Armageddon für 7,50€)
  3. 7,77€

x2k 04. Dez 2020 / Themenstart

Bei den meisten. Mainboards ist das bios oder uefi auf einem flashbaustein mit spi...

FreiGeistler 04. Dez 2020 / Themenstart

Oder kann man diese nicht als Rootkit/Bootkit zählen?

scheuerseife 04. Dez 2020 / Themenstart

Für Abhilfe oder zur Vorrausschauenden Vorsicht hätte man den Artikel mit 1-3 Tipps...

Kommentieren


Folgen Sie uns
       


Librem Mini - Fazit

Der Librem Mini punktet mit guter Linux-Unterstützung, freier Firmware und einem abgesicherten Bootprozess.

Librem Mini - Fazit Video aufrufen
20 Jahre Wikipedia: Verlässliches Wissen rettet noch nicht die Welt
20 Jahre Wikipedia
Verlässliches Wissen rettet noch nicht die Welt

Noch nie war es so einfach, per Wikipedia an enzyklopädisches Wissen zu gelangen. Doch scheint es viele Menschen gar nicht mehr zu interessieren.
Ein IMHO von Friedhelm Greis

  1. Desktop-Version Wikipedia überarbeitet "klobiges" Design

USA: Die falsche Toleranz im Silicon Valley muss endlich aufhören
USA
Die falsche Toleranz im Silicon Valley muss endlich aufhören

Github wirft einen Juden raus, der vor Nazis warnt, weil das den Betrieb stört. Das ist moralisch verkommen - wie üblich im Silicon Valley.
Ein IMHO von Sebastian Grüner

  1. CES 2021 So geht eine Messe in Pandemie-Zeiten
  2. Handyortung Sinnloser Traum vom elektronischen Zaun gegen Corona
  3. CD Projekt Red Crunch trifft auf Cyberpunk 2077

CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


      •  /