FBI bestätigt

Trickbot-Macher stecken hinter Ransomware namens Diavol

Uhr
von René Jaun und jor

Die Ransomware Diavol kommt offenbar von denselben Kriminellen wie Trickbot. Was Cybersecurity-Experten schon länger vermuteten, bestätigt nun auch die US-amerikanische Bundespolizei.

(Source: Michael Geiger / Unsplash.com)
(Source: Michael Geiger / Unsplash.com)

Die Ransomware Diavol ist noch jung. Laut einem Bericht von Fortinet wurde sie erstmals Anfang Juni 2021 entdeckt. Der Cybersecurity-Spezialist brachte sie in Verbindung mit Wizard Spider, einem russischen Ableger der Trickbot-Hackergruppe.

Nun bestätigt auch die US-amerikanische Bundespolizei FBI, dass die Macher von Trickbot hinter Diavol stecken. Dies berichtet "Bleeping Computer" unter Berufung auf ein "Flash Advisory" des FBI (PDF). Darin heisst es, Diavol sei der Behörde seit vergangenem Oktober bekannt. Die damit erpressten Lösegelder betragen zwischen 10'000 und 500'000 US-Dollar. Die Erpresser seien zu Preisverhandlungen bereit. Noch habe man in keinem Fall feststellen können, dass im Rahmen von Diavol-Angriffen gestohlene Daten veröffentlicht worden seien, schreibt das FBI weiter.

Die mittels Diavol erpressten Geldbeträge sind deutlich tiefer als andere von der Trickbot-Gruppe geforderte Lösegelder, wie "Bleeping Computer" schreibt. Die ebenfalls mit Trickbot in Verbindung gebrachte Erpresserbande Conti (früher als Ryuk bekannt), fordert nicht selten Millionenbeträge. Unter den Conti-Opfern befindet sich auch das Schweizer Grossunternehmen Habasit, wobei hier nicht bekannt ist, ob und wie viel die Ransomwaregruppe in diesem Fall gefordert hatte.

Bekanntestes Produkt der Trickbot-Hackergruppe ist ein nach ihr benannter Banking-Trojaner, der Finanzdaten, Kontodaten und persönliche Informationen stehlen sowie sich innerhalb eines Netzwerks verbreiten und Ransomware absetzen kann. Hacker setzen Trickbot oder andere Malware laut Check Point häufig im Vorfeld von Ransomware-Angriffen ein. So wurde etwa bei den Ryuk-Ransomware-Angriffen die Emotet-Malware verwendet, um das Netzwerk zu infiltrieren, das dann mit Trickbot infiziert wurde, bevor die Ransomware schliesslich die Daten verschlüsselte.

Die Trickbot-Malware gehört zu den am meisten verbreiteten, wie Sie hier lesen können. Laut Check Point wird Trickbot oft als Einstiegspunkt verwendet, um das Schadprogramm Emotet auf den Rechner seiner Opfer zu installieren. Mehr zu Emotet lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

den wöchentlichen Newsletter von Swisscybersecurity.net an

Webcode
DPF8_244066