Microsoft: Mit dem Urheberrecht gegen Trickbot-Kontrollserver

Nach dem US-Militär rückt nun auch Microsoft der Schadsoftware und dem Botnetzwerk Trickbot zu Leibe. Durch einen Gerichtsbeschluss konnte Microsoft die Kontrollserver des Botnetzwerkes vom Netz nehmen und damit der Trickbot-Gruppe die Kontrolle über die Bots entziehen. Ob und wie schnell sich Trickbot davon erholen kann, wird sich zeigen.

In einem Blogbeitrag erklärt Microsoft das Vorgehen: Zuerst habe das Unternehmen Trickbot intensiv untersucht. Die Schadsoftware habe eine enorme Anpassungsfähigkeit an den Tag gelegt und schnell auf gesellschaftliche Ereignisse und Diskussionen reagiert und diese für Phishing-Kampagnen missbraucht, darunter Covid-19 und Black Lives Matter. Anschließend habe es die Schadsoftware auf Zugangs- und Bankdaten auf den infizierten Systemen abgesehen, gefolgt von einer Verschlüsselung des befallenen Systems und einer damit einhergehenden Lösegeldforderung.

Bei der Untersuchung der Schadsoftware ermittelte Microsoft operative Details, darunter die Kommunikationsinfrastruktur von Trickbot sowie die hardcodierten IP-Adressen der Command-and-Control-Server. Anschließend erwirkte Microsoft einen Gerichtsbeschluss bei einem US-Berzirksgericht, der dem Unternehmen die Einstellung der Trickbot-Operationen gestattete. "Unser Fall umfasst urheberrechtliche Ansprüche gegen Trickbots böswillige Verwendung unseres Software-Codes", erklärte der Windows-Hersteller. Der Ansatz, mit dem Urheberrecht gegen eine Schadsoftware vorzugehen, sei eine wichtige Neuerung, um diese zu stoppen und weltweit Zivilklagen zu ermöglichen.

Demnach füge Trickbot dem Unternehmen irreparablen Schaden zu "indem es seinen Ruf, seine Marken und das Wohlwollen seiner Kunden schädigt". Sobald Trickbot das System infiziere, verändere und kontrolliere, höre das Windows auf, normal zu funktionieren und werde zu einem Werkzeug für die Beklagten, um ihren Diebstahl durchzuführen, argumentierte Microsoft. Es bestehe das Risiko, dass Nutzer die verursachten Probleme Microsoft zuschrieben.

Koalition nimmt Trickbot die Infrastruktur

Mit einer Koalition aus verschiedenen Unternehmen, darunter die Sicherheitsfirmen Eset und Symantec, sowie der Hilfe von Telekommunikationsanbietern auf der ganzen Welt, sei es anschließend gelungen die IP-Adressen und die Kontrollserver aus dem Netz zu nehmen. Laut dem Journalisten Brian Krebs will Microsoft die beschlagnahmten Server dazu nutzen, infizierte Windows-Installationen zu identifizieren und bei deren Säuberung zu helfen.

Microsoft geht davon aus, dass die Trickbot-Betreibergruppe versucht, ihre Infrastruktur und die Schadsoftware wieder in Betrieb zu nehmen. Gemeinsam mit den Partnern würden die Aktivitäten der Gruppe überwacht und zusätzliche rechtliche und technische Schritte unternommen, um sie erneut zu stoppen, kündigte der Windows-Hersteller an.

Der Schlag gegen Trickbot folgt auf eine mehrwöchige Angriffswelle durch das US-Militär: Diese hatten die Bots über Konfigurationsdateien aus dem Netzwerk entfernt und die Kontrollserver mit Fake-Bots geflutet. Im Juli hatte Trickbot Probleme mit einer ausgespielten Testversion, die vor sich selbst warnte.

Ende Juli wurden die Server der Schadsoftware Emotet gehackt und die darüber verteilte Schadsoftware kurzerhand durch animierte GIFs ersetzt. Emotet kommt häufig im Huckepack mit Trickbot und ist beispielsweise für den monatelangen Ausfall des Berliner Kammergerichtes verantwortlich. Auch dort sammelte Trickbot Zugangsdaten.