Siirry pääsisältöön

TrickBot: monitahoinen bottiverkko

Mikä tekee TrickBot-bottiverkosta niin vaarallisen? Pankkitroijalainen Emotetin – joka on nykyisin tehty harmittomaksi – ja Retefen lisäksi myös TrickBot on vaarallinen tietokoneellesi. TrickBot ja sen taustalla oleva bottiverkko aiheuttavat haasteen kyberturvallisuusasiantuntijoille.
Kyberrikolliset ovat vuodesta 2016 lähtien käyttäneet TrickBotia tunkeutuakseen tietokoneisiin ja vakoillakseen luottamuksellisia yksityistietoja. Näiden kyberhyökkäysten uhreihin eivät lukeudu ainoastaan yritykset, vaan myös yksityishenkilöt. Haittaohjelman laajuus ja kyvyt ovat kasvaneet huomattavasti sen löytämisestä vuonna 2016. Se ei kohdistu enää ainoastaan tietovarkauteen. TrickBot pystyy nyt myös muuttamaan verkkoliikennettä ja se voi levitä pidemmälle. Kun haittaohjelma on päässyt järjestelmään ja tartuttanut tietokoneen, TrickBot avaa takaoven muille haittaohjelmille.

TrickBot on erityisen vaarallinen ja vahingollinen, koska se on muuntautumiskykyinen ja se tuo mukanaan paljon lisäosia. Kuten troijalaisilla on tapana, TrickBot on taitava piiloutumaan uhriltaan. Se voidaan havaita ja poistaa vain olemalla erittäin tarkkaavainen ja käyttämällä parasta tietoturvaohjelmistoa, kuten Kaspersky Anti-Virus -ratkaisua.

Kuinka TrickBot-pankkitroijalainen leviää

Alun perin TrickBot pääsi järjestelmiin tietojenkalastelusähköpostien välityksellä. Se lähettää aluksi petollisen aidonnäköisiä sähköposteja, jotka valheellisesti vaikuttavat tulevan tunnetuilta instituutioilta ja yrityksiltä. Usein viestissä on liitetiedosto. Sähköpostissa TrickBotin uhreja pyydetään avaamaan liite tai linkki, joka johtaa laitteen tartuntaan. Liitteiden avaaminen johtaa haittaohjelman lataukseen. TrickBot-tartunta voi tapahtua myös haitallisten päivitysten tai koneella jo olevan haittaohjelmien välityksellä. Kun haittaohjelma on päässyt tietokoneeseen ja se pystyy tallentamaan käyttäjän tiedot, yksi sen päätavoitteista on pysyä tunnistamattomana mahdollisimman pitkään.

Kuinka TrickBot-hyökkäys toimii?

TrickBot-hyökkäyksessä Windows-palvelut ja Windows Defenderin ja muiden virustorjuntaohjelmien toiminnot ensin lopetetaan. Sen jälkeen käyttöoikeuksia laajennetaan useilla menetelmillä. Tuloksena saatavia järjestelmänvalvojan oikeuksia voidaan käyttää lisäosilla, jotka haittaohjelma lataa automaattisesti. Sen jälkeen TrickBot vakoilee sekä järjestelmää että verkkoja ja kerää käyttäjästä tietoja. Haittaohjelman keräämät tiedot lähetetään edelleen ulkoisiin laitteisiin, tai hyökkäyksen takana olleille kyberrikollisille.

Mitä seurauksia pankkitroijalaisella on uhrille ja laitteelle?

"Win 32/TrickBot.AK" -virus tallentaa dataa ilman käyttäjän lupaa ja se vakoilee loppulaitteen käyttäjää. Mahdollinen tapa päästä käsiksi tietoihin on esimerkiksi näyttämällä valheellisia valintaikkunoita, jotka tulevat näkyviin haittaohjelman vuoksi. TrickBot itsessään ei tallenna näppäinpainalluksia tai näyttökuvia. Troijalainen pystyy ottamaan yhteyttä etäpalvelimeen. Se kuuluu automatisoitujen haittaohjelmien ryhmään, jota kutsutaan bottiverkoksi. TrickBot ei vaikuta kannettavan tietokoneen suorituskykyyn, eikä se estä tietokoneen reagointia komentoihin. TrickBot syyllistyy kuitenkin palvelunestohyökkäyksiin. Tällaisissa hyökkäyksissä valtava määrä kohdennettuja pyyntöjä monista tietokoneista johtaa palvelun keskeytymiseen. Muita TrickBot-haittaohjelman kykyjä ovat haittaohjelman lataaminen tartunnan saaneisiin tietokoneisiin, itsensä levittäminen ja hyökkäyspisteiden luonti hakkereille.

TrickBotin tunnistus ja pankkitroijalaisten poisto

TrickBot-tartunnan tunnistus vaatii tarkkaavaisuutta. Mahdollisia merkkejä haittaohjelman tartunnasta voivat olla esim. valtuuttamattomat kirjautumisyrityksen verkkotileihin. Hyökkäyksen uhrit huomaavat joskus verkkoinfrastruktuurin muutoksia. Myöhempi ja kohtalokas merkki haittaohjelman tartunnasta on tilisiirto, joka on tehty ilman osallistumistasi. Haittaohjelma voi naamioitua tietokoneen aidoksi prosessiksi tai tavanomaiseksi tiedostoksi. Sen vuoksi sitä on lähes mahdotonta havaita. Epäilyttävän näköisten tiedostojen poisto saattaa aiheuttaa tietokoneelle peruuttamattomia vaurioita. TrickBot on dataa varastava troijalainen, joten vauriot pitäisi korjata mahdollisimman pian. Virustorjuntaohjelmat, kuten Kasperskyn tuotteet ovat erinomainen tapa tehdä se. TrickBot-tartunnan tunnistus ja pankkitroijalaisen poisto ovat erittäin aikaa vieviä.

Kirjautumistietojen täyttö ja muut TrickBot-hyökkäyksen seuraukset

Kuten mainitsimme aiemmin, TrickBot pyrkii varastamaan kirjautumistiedot ja se suorittaa kirjautumistietojen täyttöä. Kirjautumistietojen täytöllä tarkoitetaan menetelmää, jolla kyberrikolliset pidättävät verkkotilejä. Alun perin rahoituslaitokset, kuten pankit olivat TrickBot-troijalaisen pääasiallinen kohde. Kyberrikolliset saavat henkilökohtaisten tilien valtuuttamattoman käyttöoikeuden varastamalla yksityisiä käyttöoikeuksia. Niiden avulla voidaan esimerkiksi tehdä tilisiirtoja. Salasanojen ja käyttäjänimien lisäksi TrickBot pystyy saamaan käyttöönsä selaimen automaattisesti täytetyt tiedot, sekä sen historian ja tallennetut evästeet.

TrickBot-hyökkäyksen tyypilliset seuraukset

TrickBot-hyökkäysten uhrit kärsivät tyypillisistä seuraamuksista. Toisaalta kyberrikolliset ottavat heidän tilinsä haltuunsa. Kun se on tapahtunut, hakkerit yleensä vaativat lunnaita tilien tai tiedostojen vapauttamiseksi. Kaiken lisäksi kiristysohjelma voi levitä tartunnan saaneitten laitteiden toisiin tiedostoihin.

Taistelu TrickBotia vastaan: Kuinka parhaiten suojaudut hyökkäystä vastaan

  • Käytä ammattimaista virustorjuntaohjelmaa tai troijalaisten tarkistusratkaisua.
  • Ole varovainen tarkistaessasi roskapostiviestejä. Älä avaa epäilyttäviä tai oudon näköisiä sähköposteja tai niiden liitteitä. Kerro työntekijöille, että he eivät saa missään tilanteessa antaa lupaa aktivoida makroja.
  • Tietokoneiden ohjelmistojen pitäisi aina olla ajan tasalla.
  • Ole tarkkaavainen päivittäessäsi ohjelmia.
  • Käytä virallisia toimittajia kolmansien osapuolten ohjelmantarjoajien sijaan. Hylkää lisäpaketit latauksen aikana.

Lukemattomista varotoimista huolimatta aina on olemassa riski ja troijalainen saattaa tartuttaa tietokoneesi. Muista tallentaa säännöllisesti varmuuskopiot tiedoistasi.

TrickBot yhdessä muiden haittaohjelmien kanssa

Emotet, TrickBot ja Ryuk – tiedoillesi kohtalokas yhdistelmä

Hyvät asiat tulevat kolmen ryhmissä – vaikka se tuskin on totta, kun kyseessä on Trickbotin, Emotetin ja Ryukin yhdistelmä. Näiden kolmen haittaohjelman yhdistelmä on erityisen vaarallinen. Sen aiheuttamat tuhot saavat yksittäisen TrickBot-hyökkäyksen vaikuttamaan harmittomalta. Nämä kolme ohjelmaa työskentelevät yhdessä saumattomasti ja maksimoivat siten tuhot. Emotet suorittaa tartunnan ja klassiset troijalaisen tehtävät avaten ovet TrickBotille ja Ruykille ja sen myötä hyökkääjille. Seuraavassa vaiheessa hyökkääjät käyttävät TrickBotia saadakseen tietoja tartunnan saaneesta järjestelmästä ja levittääkseen itsensä verkkoon parhaalla mahdollisella tavalla. Viimeisessä vaiheessa krypto-troijalainen Ruyk sijoitetaan mahdollisimman moniin järjestelmiin. Se salaa kiintolevyn kiristysohjelman toimien mukaisesti. Lisäksi löydetyt tietojen varmuuskopiot tuhotaan.

TrickBot ja IcedID: erityisen tehokas pankkitroijalaistiimi

Tämä ei ole ainoa yhdistelmä, jossa TrickBot esiintyy. TrickBotin ja IcedIDin yhdistelmä on yhtä vaarallinen. Näiden kahden pankkitroijalaisen yhdistelmä suorittaa vielä kohdennetumman hyökkäyksen pankkitietoihin. IcedID-haittaohjelma levitetään uhrin laitteeseen esim. haitallisilla roskaposteilla, jotka käyttäjä avaa. Se käynnistää TrickBot-haittaohjelman latauksen. TrickBot voi sitten suorittaa tavanomaiset vakoilutehtävänsä ja saada selville, minkälaisia talouspetoksia voidaan suorittaa.

TrickBot ja Windows Defender

Jotkin haittaohjelmat, kuten TrickBot ovat löytäneet tapoja välttää Windows Defenderin tunnistamasta niitä. TrickBotin erityispiirre on, että se ei ainoastaan kykene toimimaan salassa, vaan se menee pidemmälle kytkien Windows Defenderin kokonaan pois päältä.

Yhteenveto

TrickBot aiheuttaa uhan tietokoneellesi, koska sen keskeinen toiminto on kirjautumistietojen varastaminen. Lisäksi se on muuntautumiskykyinen ja se tuo mukanaan monia lisäosia, joiden vuoksi se on erittäin epäsuosittu vieras. TrickBot-hyökkäykset ovat erityisen kohtalokkaita, kun ne tapahtuvat yhdessä muiden haittaohjelmien kanssa. Sen vuoksi haittaohjelmat on tärkeää havaita mahdollisimman pian erinomaisen tietoturvaohjelmiston avulla ja tarkkaavaisuutta noudattamalla. Näin voidaan estää oven avautuminen yhä useammille haittaohjelmille.

TrickBot: monitahoinen bottiverkko

Opi, kuinka suojaudut TrickBot-pankkitroijalaiselta. ✓ Tunnista TrickBot ✓ Vältä kirjautumistietojen täyttö ✓ Tuhoa virus
Kaspersky logo

Aiheeseen liittyviä artikkeleita