Vorig jaar slaagden Microsoft en het Pentagon erin om een Russische ransomware groep tegen te houden. Nu is de groep terug en heeft hij een al een groot aantal apparaten besmet.
De groep, bekend om zijn Trickbot-malware, werd tegengehouden doordat het Pentagon bang was voor inmenging bij de verkiezingen. Om de groep te blokkeren, lanceerde het Pentagon in september 2020 een reeks gecoördineerde aanvallen op geïnfecteerde systemen. De systemen werden daarop doorgestuurd naar een lokaal adres van de VS zelf, in plaats van de command & control-servers van Trickbot zelf.
Ook Microsoft mengde zich in de strijd. Het bedrijf achterhaalde welke servers gebruikt werden door het Trickbot-botnet en blokkeerde de IP-adressen van deze servers. De pogingen van Microsoft en het Pentagon leken te werken. Tijdelijk dan.
Doordat de groep achter het botnet is verspreid over meerdere landen in Oost-Europa (waaronder Rusland, Oekraïne en Wit-Rusland) is het bijna onmogelijk om de groep voor altijd neer te halen. Er is inmiddels meer dan genoeg bewijs om te concluderen dat de groep weer actief is.
Al sinds januari worden er in Noord-Amerika malware-aanvallen gerapporteerd die voldoen aan alle kenmerken van een Trickbot-aanval. Daarnaast beweert Fortinet dat de groep werkt met een nieuw type malware, genaamd Diavol. Ook BitDefender concludeert dat de Trickbot infrastructuur weer in werking is en waarschuwt voor een nieuwe golf aanvallen.
Hoe voorkom je dat je getroffen wordt?
Wat kun je doen om te voorkomen dat je slachtoffer wordt van het Trickbot botnet? Zoals altijd is het advies om je systeem zo up-to-date mogelijk te houden en kwetsbaarheden in je systemen zo snel mogelijk te patchen.
Over het algemeen zijn vooral grote bedrijven, verzekeringsmaatschappijen en juridische bedrijven het doelwit van gerichte ransomware-aanvallen. Vaak begint de aanval met een phishing e-mail waarin staat dat je ergens op betrapt bent. Bijvoorbeeld een verkeersovertreding. Vervolgens word je aangemoedigd om te klikken op een link die zogezegd bewijs laat zien van je overtreding.
In plaats van bewijs, bevat de link een kwaadaardig Javascript die je verbindt aan een Trickbot server en automatisch de malware downloadt naar je systeem. Vervolgens verspreidt de malware zich ook naar anderen binnen hetzelfde netwerk.
Nu de groep achter het Trickbot-botnet weer actief is, is het extra belangrijk om heel voorzichtig te zijn met waar je op klikt wanneer je e-mails opent. In het beste geval gaat het om een slechte grap, maar in het slechtste geval wordt je gehele systeem besmet en kost het je een fortuin om alles weer op orde te krijgen.