Inside Trickbot, Russlands berüchtigte Ransomware-Bande
Inside Trickbot, Russlands berüchtigte
Ransomware-Bande
Hand auf Laptop-Tastatur in rotem Licht
Wenn die Telefone und die Computernetzwerke in den drei Krankenhäusern
des Ridgeview Medical Center am 24. Oktober 2020 ausfielen, griff die
medizinische Gruppe auf einen Facebook-Post zurück, um ihre Patienten
vor der Störung zu warnen. Eine örtliche freiwillige Feuerwehr sagte,
dass Krankenwagen in andere Krankenhäuser umgeleitet würden; Beamte
berichteten, dass Patienten und Personal in Sicherheit seien. Die
Ausfallzeiten in den medizinischen Einrichtungen von Minnesota waren
keine technische Panne; Berichte brachten die Aktivitäten schnell mit
einer der berüchtigtsten Ransomware-Banden Russlands in Verbindung.
Tausende von Kilometern entfernt, nur zwei Tage später, brüsteten sich
Mitglieder der Trickbot-Cybercrime-Gruppe privat darüber, welche
leichten Ziele Krankenhäuser und Gesundheitsdienstleister machen. "Sie
sehen, wie schnell Krankenhäuser und Zentren antworten", prahlte Target,
ein wichtiges Mitglied der mit Russland verbundenen Malware-Bande, in
Nachrichten an einen ihrer Kollegen. Der Austausch ist in bisher nicht
gemeldeten Dokumenten enthalten, die von WIRED gesehen wurden, die aus
Hunderten von Nachrichten bestehen, die zwischen Trickbot-Mitgliedern
gesendet wurden und das Innenleben der berüchtigten Hacking-Gruppe
detailliert beschreiben. "Antworten vom Rest, [brauchen] Tage. Und vom
Grat flog sofort die Antwort herein", schrieb Target.
Wie Target tippte, waren Mitglieder von Trickbot gerade dabei, eine
riesige Welle von Ransomware-Angriffen gegen Krankenhäuser in den
Vereinigten Staaten zu starten. Ihr Ziel: Krankenhäuser, die damit
beschäftigt sind, auf die steigende Covid-19-Pandemie zu reagieren, zu
zwingen, schnell Lösegeld zu zahlen. Die Angriffsserie führte zu
dringenden Warnungen von Bundesbehörden, einschließlich der
Cybersecurity and Infrastructure Security Agency und des Federal Bureau
of Investigation. "Scheiß Kliniken in den USA diese Woche", sagte
Target, als sie die Anweisung gaben, eine Liste von 428 Krankenhäusern
ins Visier zu nehmen. "Es wird eine Panik geben."
Die von WIRED eingesehenen Dokumente enthalten Nachrichten zwischen
hochrangigen Mitgliedern von Trickbot aus dem Sommer und Herbst 2020 und
enthüllen, wie die Gruppe ihre Hacking-Operationen ausweiten wollte. Sie
legen die Aliasnamen wichtiger Mitglieder frei und zeigen die
rücksichtslose Haltung der Mitglieder der kriminellen Bande.
Die Nachrichten wurden in den Monaten vor und kurz nachdem das US Cyber
Command einen Großteil der Infrastruktur von Trickbot gestört und die
Arbeit der Gruppe vorübergehend eingestellt hatte, gesendet. Seitdem hat
die Gruppe ihre Geschäftstätigkeit ausgeweitet und ihre Malware
weiterentwickelt, und sie zielt weiterhin auf Unternehmen auf der ganzen
Welt ab. Während der russische Föderale Sicherheitsdienst kürzlich
Mitglieder der REvil-Ransomware-Bande verhaftet hat - nach
diplomatischen Bemühungen zwischen den Präsidenten Joe Biden und
Wladimir Putin -, ist Trickbots innerer Kreis bisher relativ unversehrt
geblieben.
Die Trickbot-Gruppe entwickelte sich Ende 2015 aus dem Bankentrojaner
Dyre, als Dyres Mitglieder verhaftet wurden. Die Bande hat ihren
ursprünglichen Banking-Trojaner zu einem Allzweck-Hacking-Toolkit
ausgebaut. Einzelne Module, die wie Plugins funktionieren, ermöglichen
es ihren Betreibern, Ryuk und Conti Ransomware einzusetzen, während
andere Funktionen Keylogging und Datenerfassung ermöglichen. "Ich kenne
keine anderen Malware-Familien, die so viele Module oder erweiterte
Funktionalitäten haben", sagt Vlad Pasca, ein leitender Malware-Analyst
bei der Sicherheitsfirma Lifars, der den Code von Trickbot dekompiliert
hat. Diese Raffinesse hat der Bande, auch bekannt als Wizard Spider,
geholfen, Millionen von Dollar von Opfern zu sammeln.
Ein Kernteam von rund einem halben Dutzend Kriminellen steht im
Mittelpunkt der Operationen von Trickbot, so die Dokumente, die von
WIRED und Sicherheitsexperten, die die Gruppe verfolgen, überprüft
wurden. Jedes Mitglied hat seine eigenen Spezialitäten, wie z.B. die
Verwaltung von Teams von Programmierern oder die Leitung von
Ransomware-Bereitstellungen. An der Spitze der Organisation steht Stern.
(Wie alle Spitznamen, die in dieser Geschichte verwendet werden, sind
der reale Name oder die Namen hinter den Griffen unbekannt. Sie sind
jedoch die Identitäten, die die Gruppe verwendet, wenn sie miteinander
spricht.)
“He is the boss of Trickbot,” says Alex Holden, who is CEO of
cybersecurity firm Hold Security and has knowledge of the workings of
the gang. Stern acts like a CEO of the Trickbot group and communicates
with other members who are at a similar level. They may also report to
others who are unknown, Holden says. “Stern does not get into the
technical side as much,” he says. “He wants reports. He wants more
communication. He wants to make high-level decisions.”
https://www.wired.com/story/trickbot-malware-group-internal-messages/