Emotet: Trickbot nimmt Bios ins Visier

Die Schadsoftware bereitet die Infizierung des Bios oder Uefi vor. Damit könnte sie nicht nur zum Rootkit werden, sondern auch befallene Geräte zerstören.

Artikel veröffentlicht am ,
Die modulare Schadsoftware Trickbot hat einige Tricks auf Lager.
Die modulare Schadsoftware Trickbot hat einige Tricks auf Lager. (Bild: Eclypsium)

Die Schadsoftware Trickbot hat einen neuen Trick auf Lager: Die Kriminellen hinter dem Trojaner arbeiten an einer Funktion, mit der sich die Malware in das Bios oder Uefi einnisten und so Persistenz erlangen kann. Da diese im Bootvorgang vor dem Betriebssystem gestartet werden, kann beispielsweise ein neu installiertes Windows direkt wieder infiziert werden.

Stellenmarkt
  1. Business Analyst Project and Process Management (m/w/d)
    Allianz Lebensversicherungs - AG, München
  2. Informatiker / Entwickler (m/w/d) SAP ABAP
    ING Deutschland, Frankfurt, Nürnberg
Detailsuche

Trickbot könnte die Funktion jedoch auch nutzen, um die betroffenen Geräte zu bricken, spekulieren die beiden Entdeckerfirmen Advanced Intel und Eclypsium. Auch könnten Microcode-Updates, welche die Prozessoren vor Sicherheitslücken wie Spectre oder Meltdown schützen sollen, blockiert werden. Die neue Funktion nennen sie in Anlehnung an die Schadsoftware Trickboot.

Das im Oktober entdeckte Trickbot-Modul prüft bisher jedoch nur, ob die Firmware auf einem infizierten Rechner vor unautorisierten Änderungen geschützt beziehungsweise mit einem Schreibschutz versehen ist. "Dies schafft die Voraussetzungen dafür, dass die Personen hinter Trickbot aktivere Maßnahmen wie die Installation von Firmware-Implantaten und Hintertüren oder die Zerstörung (Bricking) eines Zielgeräts durchführen können", schreiben die Sicherheitsfirmen. Es sei möglich, dass die Funktion bereits gegen höherwertige Ziele genutzt würde.

Uefi-Rootkits sind bisher selten

Solche Uefi-Rootkit oder -Bootkit genannte Schadsoftware ist bisher selten. Mit Trickbot könnte sich dies jedoch auf einen Schlag ändern. Die modulare Schadsoftware habe eine "robuste Infrastruktur und schnelle Masseneinsatzfähigkeiten", erklären die Sicherheitsfirmen.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

Das erste Uefi-Rootkit in freier Wildbahn entdeckte die Sicherheitsfirma Eset 2018. Verantwortlich für die Angriffe soll die Hackergruppe Fancy Bear sein, die dem russischen Militärgeheimdienst GRU zugeordnet wird und auch unter den Namen APT28, Sofacy und Strontium bekannt ist. Die Gruppe soll auch für den Bundestagshack im Jahr 2015 verantwortlich gewesen sein. Gegen die Gruppe wurden bereits EU-Sanktionen ausgesprochen.

Trickbot wird häufig von der Schadsoftware Emotet nachgeladen, um Zugangsdaten auf den befallenen Rechnern abzugreifen. Häufig wird in einem nächsten Schritt eine Ransomware wie Ryuk nachgeladen. Forensiker entdeckten die Schadsoftware beispielsweise auf den Rechnern des Berliner Kammergerichtes, das nach einem Emotet-Befall für Monate arbeitsunfähig war und bis heute mit den Folgen des Angriffs zu kämpfen hat. Erst kürzlich war Microsoft mit Hilfe des Urheberrechts gegen Trickbot vorgegangen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Star Wars
Youtuber bekommt für Deep Fakes Job bei Lucasfilm

Mit Deepfakes schafft Shamook überzeugendere Varianten von Star-Wars-Figuren, als es Disney je gelungen ist. Jetzt arbeitet er bei ILM.

Star Wars: Youtuber bekommt für Deep Fakes Job bei Lucasfilm
Artikel
  1. Flight Simulator im Benchmark-Test: Sim Update 5 lässt Performance abheben
    Flight Simulator im Benchmark-Test
    Sim Update 5 lässt Performance abheben

    Die Optimierungen bei Bildrate und Speicherbedarf sind derart immens, dass wir kaum glauben können, noch den Flight Simulator zu spielen.
    Ein Test von Marc Sauter

  2. Sony: Zehn Millionen Exemplare der Playstation 5 verkauft
    Sony
    Zehn Millionen Exemplare der Playstation 5 verkauft

    Trotz Lieferengpässen ist die Playstation 5 vermutlich die am schnellsten verkaufte Konsole. Auch zum Absatz der Xbox Series X/S gibt es neue Zahlen.

  3. Sexismus: Entwickler wollen Inhalte von World of Warcraft ändern
    Sexismus
    Entwickler wollen Inhalte von World of Warcraft ändern

    Es rumort weiter bei Activision Blizzard: Entwickler wollen streiken und WoW überarbeiten. Konzernchef Bobby Kotick meldet sich erstmals.

x2k 04. Dez 2020

Bei den meisten. Mainboards ist das bios oder uefi auf einem flashbaustein mit spi...

FreiGeistler 04. Dez 2020

Oder kann man diese nicht als Rootkit/Bootkit zählen?

scheuerseife 04. Dez 2020

Für Abhilfe oder zur Vorrausschauenden Vorsicht hätte man den Artikel mit 1-3 Tipps...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Samsung-Monitore Amazon Exclusive günstiger (u. a. G7 32" QLED Curved WQHD 240Hz 559€) • AKRacing Core EX-Wide SE Gaming-Stuhl 229€ • Thrustmaster TCA Officer Pack Airbus Edition 119,99€ • Flight Simulator Xbox Series X 69,99€ [Werbung]
    •  /